SockDetour Malware

Siber suçlulara zaten güvenliği ihlal edilmiş bilgisayarlara arka kapı erişimi sağlamak için dosyasız ve soketsiz bir arka kapı tehdidi kullanıldı. Tehdit, SockDetour kötü amaçlı yazılımı olarak izleniyor ve işleyişiyle ilgili ayrıntılar Palo Alto Network'ün 42. Birimi tarafından bir raporda yayınlandı.

Elde edilen bulgulara göre SockDeteour, 2019'dan bu yana en az üç yıl boyunca siber güvenlik topluluğu tarafından farkedilmeden kalmayı başardı. Asıl amacı, ikincil bir arka kapı kanalı olarak hareket etmek ve saldırganların hedeflenen makinelerde varlıklarını sürdürmelerini sağlamaktır. Tehdit son derece gizlidir, çünkü yasal hizmet süreçlerini dosyasız bir şekilde yükleyerek ve şifreli Komuta ve Kontrol (C2, C&C) sunucu kanalını bağlamak ve sürdürmek için ilgili süreçlerin otantik ağ soketlerini kötüye kullanarak işlemlerini gerçekleştirir.

İlişkilendirme ve Hedefler

Birim 42'deki bilgi güvenliği araştırmacıları, SockDetour'un APT27 veya TiltedTemple olarak bilinen bir APT (Gelişmiş Kalıcı Tehdit) grubunun tehditkar cephaneliğinin bir parçası olduğuna inanıyor. Grup, savunma, havacılık, devlet, enerji, teknoloji ve imalat sektörlerinde çalışan kurumsal varlıkları ve ajansları hedef alan önceki operasyonlarıyla tanınmaktadır. Zararlı operasyonların görünen amacı siber casusluktur.

SockDetour ile enfekte olan hedefler önceden oluşturulmuş profile uyuyor. Şimdiye kadar, kötü amaçlı yazılım ABD merkezli bir savunma sözleşmesinin ağı içinde tanımlanırken, diğer üçünün bilgisayar korsanları tarafından hedef alındığına inanılıyor.