SockDetour Malware
无文件和无套接字的后门威胁已被用于为网络犯罪分子提供对已受感染计算机的后门访问。该威胁被追踪为 SockDetour 恶意软件,有关其操作的详细信息已在 Palo Alto Network 的 Unit 42 报告中发布。
根据他们的调查结果,自 2019 年以来,SockDeteour 至少在三年内一直未被网络安全社区注意到。其主要目的是充当二级后门通道,并允许攻击者在目标机器上保持其存在。该威胁非常隐蔽,因为它通过无文件加载合法服务进程并滥用相关进程的真实网络套接字来连接和维护其加密的命令和控制(C2、C&C)服务器通道来执行其操作。
归因和目标
Unit 42 的信息安全研究人员认为,SockDetour 是被称为APT27或 TiltedTemple 的 APT(高级持续威胁)组织的威胁武器库的一部分。该集团以其先前的业务而闻名,其目标是在国防、航空航天、政府、能源、技术和制造领域工作的企业实体和机构。有害行动的明显目标是网络间谍活动。
感染 SockDetour 的目标符合已经建立的配置文件。到目前为止,该恶意软件已在一份美国国防合同的网络中被识别出来,而另外三个被认为是黑客的目标。
