Malware SockDetour

Një kërcënim për prapavijën pa skedarë dhe pa prizë është përdorur për t'u siguruar kriminelëve kibernetikë akses në dyer të pasme në kompjuterë tashmë të komprometuar. Kërcënimi po gjurmohet si malware SockDetour dhe detajet rreth funksionimit të tij u publikuan në një raport nga Njësia 42 e Rrjetit Palo Alto.

Sipas gjetjeve të tyre, SockDeteour është arritur të mbetet pa u vënë re nga komuniteti i sigurisë kibernetike për të paktën tre vjet që nga viti 2019. Qëllimi i tij kryesor është të veprojë si një kanal dytësor i pasme dhe të lejojë sulmuesit të ruajnë praninë e tyre në makinat e synuara. Kërcënimi është jashtëzakonisht i fshehtë, pasi i kryen operacionet e tij duke ngarkuar proceset e shërbimit të ligjshëm pa skedarë dhe duke abuzuar me bazat autentike të rrjetit të proceseve përkatëse për të lidhur dhe mbajtur kanalin e serverit të tij të koduar Command-and-Control (C2, C&C).

Atribuimi dhe objektivat

Studiuesit e infosec në Njësinë 42 besojnë se SockDetour është pjesë e arsenalit kërcënues të një grupi APT (Kërcënimi i Përparuar i Përhershëm) i njohur si APT27 ose TiltedTemple. Grupi është i njohur për operacionet e tij të mëparshme që synojnë entitete dhe agjenci korporative që punojnë në sektorët e mbrojtjes, hapësirës ajrore, qeverisë, energjisë, teknologjisë dhe prodhimit. Qëllimi i dukshëm i operacioneve të dëmshme është spiunazhi kibernetik.

Objektivat e infektuar me SockDetour përshtaten me profilin e krijuar tashmë. Deri më tani, malware është identifikuar brenda rrjetit të një kontrate mbrojtjeje me bazë në SHBA, ndërsa tre të tjerë besohet se janë në shënjestër të hakerëve.