SockDetour มัลแวร์

มีการใช้ภัยคุกคามแบบแบ็คดอร์แบบไม่มีไฟล์และแบบไม่มีซ็อกเก็ตเพื่อให้อาชญากรไซเบอร์สามารถเข้าถึงคอมพิวเตอร์ที่มีช่องโหว่อยู่แล้ว ภัยคุกคามกำลังถูกติดตามในฐานะมัลแวร์ SockDetour และรายละเอียดเกี่ยวกับการทำงานของมันถูกเปิดเผยในรายงานโดย Unit 42 ของ Palo Alto Network

จากการค้นพบของพวกเขา SockDeteour ได้รับการจัดการให้ไม่มีใครสังเกตเห็นโดยชุมชนความปลอดภัยทางไซเบอร์เป็นเวลาอย่างน้อยสามปีตั้งแต่ปี 2019 จุดประสงค์หลักคือทำหน้าที่เป็นช่องทางลับๆ สำรองและอนุญาตให้ผู้โจมตีสามารถคงสถานะของตนบนเครื่องเป้าหมายได้ ภัยคุกคามนั้นลอบเร้นอย่างยิ่ง เนื่องจากมันดำเนินการโดยการโหลดกระบวนการบริการที่ถูกกฎหมายโดยไม่ใช้ไฟล์ และใช้ซ็อกเก็ตเครือข่ายของแท้ของกระบวนการที่เกี่ยวข้องในทางที่ผิด เพื่อเชื่อมต่อและรักษาช่องเซิร์ฟเวอร์ Command-and-Control (C2, C&C) ที่เข้ารหัสไว้

การระบุแหล่งที่มาและเป้าหมาย

นักวิจัยของ infosec ที่ Unit 42 เชื่อว่า SockDetour เป็นส่วนหนึ่งของคลังแสงที่คุกคามของกลุ่ม APT (Advanced Persistent Threat) ที่รู้จักกันในชื่อ APT27 หรือ TiltedTemple กลุ่มนี้เป็นที่รู้จักจากการดำเนินงานก่อนหน้านี้ที่มุ่งเป้าไปที่องค์กรและหน่วยงานที่ทำงานด้านการป้องกันประเทศ การบินและอวกาศ รัฐบาล พลังงาน เทคโนโลยี และภาคการผลิต เป้าหมายที่ชัดเจนของการดำเนินการที่เป็นอันตรายคือการจารกรรมทางไซเบอร์

เป้าหมายที่ติดเชื้อ SockDetour นั้นเหมาะสมกับโปรไฟล์ที่สร้างไว้แล้ว จนถึงตอนนี้ มัลแวร์ได้รับการระบุในเครือข่ายของสัญญาการป้องกันประเทศหนึ่งฉบับในสหรัฐฯ ในขณะที่อีก 3 รายเชื่อว่าเป็นเป้าหมายของแฮ็กเกอร์