TiltedTemple APT implementerer SockDetour-malwaren

Advanced Persistent Threat (APT)-skuespillere lurer altid i skyggerne og planlægger deres næste snedige kampagne, der ville bruge aldrig set før malware. Selvfølgelig er deres angreb ikke altid fremragende, og nogle gange får vi et smugkig på de værktøjer, som disse højprofilerede trusselsgrupper bruger. For nylig har antivirus-leverandører rapporteret om en helt ny trojansk bagdør, der ser ud til at være et produkt af en meget sofistikeret APT-skuespiller sporet under aliaset TiltedTemple. Truslen, kaldet SockDetour, er en farlig trojansk malware, som har evnen til at give sine operatører vedvarende adgang til inficerede netværk og systemer.

Som du sikkert kan gætte, går hackere på højt niveau sjældent efter almindelige brugere. I stedet er deres mål langt mere specifikke. I dette tilfælde er SockDetour Malware blevet brugt mod netværk, der tilhører flere amerikanske forsvarsleverandører. Det kan betyde, at angrebet er politisk motiveret, men det er endnu ikke bekræftet fuldt ud.

SockDetour Malware kan have været aktiv i over 2 år

Angiveligt daterede nogle af de malware-prøver, der blev gendannet fra inficerede systemer, tilbage til 2019. Dette kan betyde, at SockDetour Malware har været aktiv i lang tid, og den har formået at holde sig under radaren takket være dens stealth og undvigende evner. SockDetour-trojaneren er i stand til at injicere sin kode i legitime processer, og fungerer effektivt i filløs tilstand.

Indtil videre har malwaren udelukkende været rettet mod Windows-maskiner. Når den først var plantet, kunne den betjenes gennem fjernkommandoer sendt af de kriminelle bag angrebet. Takket være denne bagdør-trojaner kan TiltedTemple-hackerne have ændret systemindstillinger, eksfiltreret information og meget mere. Den indledende angrebsvektor er endnu ikke klar.