SockDetour Malware
無文件和無套接字的後門威脅已被用於為網絡犯罪分子提供對已受感染計算機的後門訪問。該威脅被追踪為 SockDetour 惡意軟件,有關其操作的詳細信息已在 Palo Alto Network 的 Unit 42 報告中發布。
根據他們的調查結果,自 2019 年以來,SockDeteour 至少在三年內一直未被網絡安全社區注意到。其主要目的是充當二級後門通道,並允許攻擊者在目標機器上保持其存在。該威脅非常隱蔽,因為它通過無文件加載合法服務進程並濫用相關進程的真實網絡套接字來連接和維護其加密的命令和控制(C2、C&C)服務器通道來執行其操作。
歸因和目標
Unit 42 的信息安全研究人員認為,SockDetour 是稱為APT27或 TiltedTemple 的 APT(高級持續威脅)組織的威脅武器庫的一部分。該集團以其先前的業務而聞名,其目標是在國防、航空航天、政府、能源、技術和製造領域工作的企業實體和機構。有害行動的明顯目標是網絡間諜活動。
感染 SockDetour 的目標符合已經建立的配置文件。到目前為止,該惡意軟件已在一份美國國防合同的網絡中被識別出來,而另外三個被認為是黑客的目標。
