Вредоносное ПО SockDetour

Угроза бэкдора без файлов и сокетов использовалась для предоставления киберпреступникам доступа через бэкдор к уже скомпрометированным компьютерам. Угроза отслеживается как вредоносное ПО SockDetour, и подробности о его работе были опубликованы в отчете Unit 42 Palo Alto Network.

Согласно их выводам, SockDeteour удавалось оставаться незамеченным сообществом кибербезопасности в течение как минимум трех лет с 2019 года. Его основная цель — действовать как вторичный бэкдор-канал и позволять злоумышленникам сохранять свое присутствие на целевых машинах. Угроза чрезвычайно скрытна, поскольку выполняет свои операции, загружая законные служебные процессы без файлов и злоупотребляя подлинными сетевыми сокетами связанных процессов для подключения и обслуживания своего зашифрованного канала управления и контроля (C2, C&C).

Атрибуция и цели

Исследователи информационной безопасности из Unit 42 считают, что SockDetour является частью угрожающего арсенала группы APT (Advanced Persistent Threat), известной как APT27 или TiltedTemple. Группа известна своими предыдущими операциями, нацеленными на корпорации и агентства, работающие в оборонном, аэрокосмическом, государственном, энергетическом, технологическом и производственном секторах. Очевидной целью вредоносных операций является кибершпионаж.

Цели, зараженные SockDetour, соответствуют уже установленному профилю. На данный момент вредоносное ПО было обнаружено в сети одного оборонного контракта в США, а три других, как полагают, стали мишенью хакеров.