Зловмисне програмне забезпечення SockDetour
Загроза бекдору без файлів і сокетів була використана для надання кіберзлочинцям бекдорного доступу до вже зламаних комп’ютерів. Загроза відстежується як зловмисне програмне забезпечення SockDetour, а подробиці його роботи були опубліковані у звіті 42 мережі Palo Alto Network.
Згідно з їхніми висновками, SockDeteour вдавалося залишатися непоміченим спільнотою кібербезпеки протягом щонайменше трьох років із 2019 року. Його головна мета — діяти як вторинний бекдор і дозволяти зловмисникам зберігати свою присутність на цільових машинах. Загроза є надзвичайно схованою, оскільки виконує свої операції, завантажуючи легальні сервісні процеси без файлів і зловживаючи справжніми мережевими сокетами пов’язаних процесів для підключення та підтримки свого зашифрованого каналу сервера командування й керування (C2, C&C).
Атрибуція та цілі
Дослідники Infosec в Unit 42 вважають, що SockDetour є частиною загрозливого арсеналу групи APT (Advanced Persistent Threat), відомої як APT27 або TiltedTemple. Група відома своїми попередніми операціями, спрямованими на корпоративні структури та агентства, що працюють у оборонному, аерокосмічній, державній, енергетичній, технологічній та виробничій сферах. Очевидною метою шкідливих операцій є кібершпигунство.
Цілі, заражені SockDetour, відповідають уже встановленому профілю. Наразі зловмисне програмне забезпечення було виявлено в мережі одного оборонного контракту, що базується в США, тоді як три інших, як вважають, є мішенню хакерів.
