TiltedTemple APT Setzt die SockDetour-Malware ein

Advanced Persistent Threat (APT)-Akteure lauern immer im Schatten und planen ihre nächste hinterhältige Kampagne, die nie zuvor gesehene Malware verwenden würde. Natürlich sind ihre Angriffe nicht immer hervorragend, und manchmal bekommen wir einen kleinen Einblick in die Tools, die diese hochkarätigen Bedrohungsgruppen verwenden. Kürzlich haben Antivirus-Anbieter eine brandneue Trojaner-Hintertür gemeldet, die das Produkt eines hochentwickelten APT-Akteurs zu sein scheint, der unter dem Decknamen TiltedTemple verfolgt wird. Die Bedrohung mit dem Namen SockDetour ist eine gefährliche Trojaner-Malware, die ihren Betreibern dauerhaften Zugriff auf infizierte Netzwerke und Systeme verschaffen kann.

Wie Sie wahrscheinlich erraten können, greifen hochrangige Hacker selten gewöhnliche Benutzer an. Stattdessen sind ihre Ziele viel spezifischer. In diesem Fall wurde die SockDetour-Malware gegen Netzwerke eingesetzt, die mehreren US-Verteidigungsunternehmen gehören. Dies könnte bedeuten, dass der Angriff politisch motiviert ist, aber dies muss noch vollständig bestätigt werden.

SockDetour-Malware ist möglicherweise seit über 2 Jahren aktiv

Angeblich stammen einige der Malware-Samples, die von infizierten Systemen wiederhergestellt wurden, aus dem Jahr 2019. Dies könnte bedeuten, dass die SockDetour-Malware schon lange aktiv ist und es dank ihrer Tarn- und Ausweichfähigkeiten geschafft hat, unter dem Radar zu bleiben. Der SockDetour-Trojaner ist in der Lage, seinen Code in legitime Prozesse einzuschleusen und praktisch im dateilosen Modus zu arbeiten.

Bisher zielte die Malware ausschließlich auf Windows-Rechner ab. Einmal gepflanzt, konnte es durch Fernbefehle betrieben werden, die von den Kriminellen hinter dem Angriff gesendet wurden. Dank dieses Backdoor-Trojaners haben die TiltedTemple-Hacker möglicherweise Systemeinstellungen geändert, Informationen exfiltriert und vieles mehr. Der anfängliche Angriffsvektor ist noch nicht klar.