SockDetour Malware

Ett fillöst och socketfritt bakdörrhot har använts för att ge cyberbrottslingar bakdörrsåtkomst till redan utsatta datorer. Hotet spåras som SockDetour skadlig kod, och detaljer om dess funktion släpptes i en rapport från Palo Alto Networks Unit 42.

Enligt deras resultat har SockDeteour lyckats förbli obemärkt av cybersäkerhetsgemenskapen i minst tre år sedan 2019. Dess huvudsakliga syfte är att fungera som en sekundär bakdörrskanal och låta angriparna behålla sin närvaro på de riktade maskinerna. Hotet är extremt smygande, eftersom det utför sina operationer genom att ladda legitima tjänsteprocesser fillöst och missbruka autentiska nätverksuttag för de relaterade processerna för att ansluta och underhålla sin krypterade Command-and-Control (C2, C&C) serverkanal.

Tillskrivning och mål

Infosec-forskarna vid Unit 42 tror att SockDetour är en del av den hotande arsenalen för en APT-grupp (Advanced Persistent Threat) känd som APT27 eller TiltedTemple. Gruppen är känd för sina tidigare verksamheter riktade mot företag och byråer som arbetar inom försvars-, flyg-, regerings-, energi-, teknik- och tillverkningssektorerna. Det uppenbara målet med de skadliga operationerna är cyberspionage.

Målen infekterade med SockDetour passar den redan etablerade profilen. Hittills har den skadliga programvaran identifierats i nätverket av ett USA-baserat försvarskontrakt, medan tre andra tros vara måltavla av hackarna.