Zlonamerna programska oprema SockDetour

Grožnja z zalednimi vrati brez datotek in vtičnic je bila uporabljena, da se kibernetičnim kriminalcem zagotovi dostop do že ogroženih računalnikov. Grožnjo spremljajo kot zlonamerno programsko opremo SockDetour, podrobnosti o njenem delovanju pa so bile objavljene v poročilu enote 42 mreže Palo Alto.

Po njihovih ugotovitvah je SockDeteour uspelo ostati neopažen s strani skupnosti za kibernetsko varnost vsaj tri leta od leta 2019. Njegov glavni namen je delovati kot sekundarni backdoor kanal in omogočiti napadalcem, da ohranijo svojo prisotnost na ciljnih strojih. Grožnja je izjemno prikrita, saj svoje operacije izvaja tako, da brez datotek nalaga zakonite storitvene procese in zlorablja pristne omrežne vtičnice povezanih procesov za povezovanje in vzdrževanje svojega šifriranega strežniškega kanala za upravljanje in nadzor (C2, C&C).

Atribucija in cilji

Raziskovalci infosec v enoti 42 verjamejo, da je SockDetour del grozečega arzenala skupine APT (Advanced Persistent Threat), znane kot APT27 ali TiltedTemple. Skupina je znana po svojih prejšnjih operacijah, ki so bile usmerjene na pravne osebe in agencije, ki delujejo v obrambnem, letalskem, vladnem, energetskem, tehnološkem in proizvodnem sektorju. Očitni cilj škodljivih operacij je kibernetsko vohunjenje.

Cilji, okuženi s SockDetour, ustrezajo že uveljavljenemu profilu. Doslej je bila zlonamerna programska oprema identificirana v omrežju ene obrambne pogodbe s sedežem v ZDA, medtem ko naj bi bile tri druge tarče hekerjev.