Το νέο προσαρμοσμένο malware SockDetour που βρέθηκε σε συστήματα που ανήκουν σε εργολάβους άμυνας των ΗΠΑ έχει χρησιμοποιηθεί ως εφεδρικό backdoor για τη διατήρηση της πρόσβασης σε παραβιασμένα δίκτυα.

Το κακόβουλο payload εντοπίστηκε από ερευνητές ασφαλείας του Unit 42, οι οποίοι πιστεύουν ότι οι χειριστές του κράτησαν το backdoor κάτω από το ραντάρ για μεγάλο χρονικό διάστημα, καθώς χρησιμοποιείται από τους χάκερ τουλάχιστον από τον Ιούλιο του 2019.

Δείτε επίσης: Ransomware που χτύπησε την Ουκρανία χρησιμοποιείται ως δόλωμα

Η μυστικότητα του SockDetour μπορεί να εξηγηθεί από το γεγονός ότι “λειτουργεί χωρίς αρχεία” σε μολυσμένους Windows servers παραβιάζοντας τις συνδέσεις δικτύου, γεγονός που καθιστά πολύ πιο δύσκολο τον εντοπισμό του σε επίπεδο host και δικτύου.

Το connection hijacking πραγματοποιείται με την χρήση του νόμιμου πακέτου βιβλιοθήκης Microsoft Detours.

Σε μία από τις επιθέσεις, οι απειλητικοί φορείς χρησιμοποίησαν και έναν πολύ συγκεκριμένο server παράδοσης, μια συσκευή αποθήκευσης συνδεδεμένης με το δίκτυο (NAS) QNAP που χρησιμοποιείται συνήθως από μικρές επιχειρήσεις και είχε προηγουμένως μολυνθεί με ransomware QLocker — πιθανότατα εκμεταλλεύτηκαν το ίδιο ελάττωμα ασφαλείας (το CVE- 2021-28799 σφάλμα απομακρυσμένης εκτέλεσης κώδικα) για να αποκτήσουν πρόσβαση στον server.

Οι ερευνητές εντόπισαν για πρώτη φορά το malware να αναπτύσσεται στον server Windows τουλάχιστον ενός εργολάβου άμυνας των ΗΠΑ στις 27 Ιουλίου 2021, γεγονός που οδήγησε στην ανακάλυψη τριών άλλων αμυντικών οργανισμών

που στοχοποιήθηκαν από την ίδια ομάδα με το ίδιο backdoor.

Δείτε επίσης: Η CISA προειδοποιεί για αξιοποιούμενες ευπάθειες στους Zabbix servers

Πως συνδέεται με την Κίνα

Η κερκόπορτα SockDetour χρησιμοποιείται σε επιθέσεις από ένα σύμπλεγμα δραστηριοτήτων APT που παρακολουθείται από τη Unit 42 ως TiltedTemple και προηγουμένως είχε συνδεθεί με επιθέσεις που εκμεταλλεύονται διάφορα τρωτά σημεία σε προϊόντα Zoho, όπως το ManageEngine ADSelfService Plus (CVE-2021-40539) και το ServiceDesk Plus271C (CVE-2021-40539).

Αν και η εταιρεία δεν απέδωσε το malware SockDetour σε μια συγκεκριμένη ομάδα hacking, οι ερευνητές της Unit 42 τον Νοέμβριο ανέφεραν ότι η καμπάνια TiltedTemple είναι έργο μιας ομάδας που χρηματοδοτείται από την Κίνα και παρακολουθείται ως APT27.

Δείτε επίσης: Nvidia: Εργαλείο που αναιρεί τους περιορισμούς GPU ήταν τελικά malware

Η μερική απόδοση βασίζεται σε τακτικές και κακόβουλα εργαλεία που ταιριάζουν με την προηγούμενη δραστηριότητα της APT27 και παρόμοια στόχευση του ίδιου φάσματος βιομηχανικών τομέων (π.χ. άμυνα, τεχνολογία, ενέργεια, αεροδιαστημική, κυβέρνηση και κατασκευή) για κατασκοπεία στον κυβερνοχώρο.

Πηγή πληροφοριών: bleepingcomputer.com