Το TiltedTemple APT αναπτύσσει το κακόβουλο λογισμικό SockDetour
Οι ηθοποιοί της Advanced Persistent Threat (APT) κρύβονται πάντα στη σκιά, σχεδιάζοντας την επόμενη δόλια καμπάνια τους που θα χρησιμοποιούσε ποτέ κακόβουλο λογισμικό. Φυσικά, οι επιθέσεις τους δεν είναι πάντα εξαιρετικές και μερικές φορές ρίχνουμε μια κλεφτή ματιά στα εργαλεία που χρησιμοποιούν αυτές οι ομάδες απειλών υψηλού προφίλ. Πρόσφατα, οι προμηθευτές προστασίας από ιούς ανέφεραν ένα ολοκαίνουργιο Trojan backdoor που φαίνεται να είναι προϊόν ενός εξαιρετικά εξελιγμένου ηθοποιού APT που παρακολουθείται με το ψευδώνυμο TiltedTemple. Η απειλή, που ονομάζεται SockDetour, είναι ένα επικίνδυνο Trojan malware, το οποίο έχει τη δυνατότητα να παρέχει στους χειριστές του μόνιμη πρόσβαση σε μολυσμένα δίκτυα και συστήματα.
Όπως μπορείτε πιθανώς να μαντέψετε, οι χάκερ υψηλού επιπέδου σπάνια κυνηγούν απλούς χρήστες. Αντίθετα, οι στόχοι τους είναι πολύ πιο συγκεκριμένοι. Σε αυτήν την περίπτωση, το κακόβουλο λογισμικό SockDetour έχει χρησιμοποιηθεί εναντίον δικτύων που ανήκουν σε πολλαπλούς εργολάβους άμυνας των ΗΠΑ. Αυτό μπορεί να σημαίνει ότι η επίθεση έχει πολιτικά κίνητρα, αλλά αυτό δεν έχει ακόμη επιβεβαιωθεί πλήρως.
Το κακόβουλο λογισμικό SockDetour μπορεί να ήταν ενεργό για περισσότερα από 2 χρόνια
Σύμφωνα με τους ισχυρισμούς, ορισμένα από τα δείγματα κακόβουλου λογισμικού που ανακτήθηκαν από μολυσμένα συστήματα χρονολογούνται από το 2019. Αυτό μπορεί να σημαίνει ότι το SockDetour Malware ήταν ενεργό για μεγάλο χρονικό διάστημα και κατάφερε να παραμείνει κάτω από το ραντάρ χάρη στις δυνατότητές του stealth και αποφυγής. Το SockDetour Trojan είναι σε θέση να εισάγει τον κώδικά του σε νόμιμες διαδικασίες, λειτουργώντας αποτελεσματικά σε λειτουργία χωρίς αρχείο.
Μέχρι στιγμής, το κακόβουλο λογισμικό στοχεύει αποκλειστικά μηχανήματα Windows. Μόλις φυτευτεί, θα μπορούσε να λειτουργήσει μέσω απομακρυσμένων εντολών που στέλνουν οι εγκληματίες πίσω από την επίθεση. Χάρη σε αυτό το backdoor Trojan, οι χάκερ του TiltedTemple ενδέχεται να έχουν τροποποιήσει τις ρυθμίσεις του συστήματος, να έχουν εκτοπίσει πληροφορίες και πολλά άλλα. Το διάνυσμα της αρχικής επίθεσης δεν είναι ακόμη σαφές.
