TiltedTemple APT déploie le logiciel malveillant SockDetour
Les acteurs des menaces persistantes avancées (APT) se cachent toujours dans l'ombre, planifiant leur prochaine campagne sournoise qui utiliserait des logiciels malveillants jamais vus auparavant. Bien sûr, leurs attaques ne sont pas toujours excellentes, et parfois nous avons un aperçu des outils utilisés par ces groupes de menaces de haut niveau. Récemment, les fournisseurs d'antivirus ont signalé une toute nouvelle porte dérobée de cheval de Troie qui semble être le produit d'un acteur APT très sophistiqué suivi sous l'alias TiltedTemple. La menace, baptisée SockDetour, est un dangereux cheval de Troie malveillant, qui a la capacité de fournir à ses opérateurs un accès persistant aux réseaux et systèmes infectés.
Comme vous pouvez probablement le deviner, les pirates de haut niveau s'en prennent rarement aux utilisateurs ordinaires. Au lieu de cela, leurs cibles sont beaucoup plus spécifiques. Dans ce cas, le logiciel malveillant SockDetour a été utilisé contre des réseaux appartenant à plusieurs sous-traitants de la défense américaine. Cela pourrait signifier que l'attaque est politiquement motivée, mais cela reste à confirmer pleinement.
Le logiciel malveillant SockDetour est peut-être actif depuis plus de 2 ans
Apparemment, certains des échantillons de logiciels malveillants récupérés à partir de systèmes infectés remontaient à 2019. Cela pourrait signifier que le logiciel malveillant SockDetour est actif depuis longtemps et qu'il a réussi à rester sous le radar grâce à ses capacités furtives et évasives. Le cheval de Troie SockDetour est capable d'injecter son code dans des processus légitimes, fonctionnant effectivement en mode sans fichier.
Jusqu'à présent, le logiciel malveillant ciblait exclusivement les machines Windows. Une fois planté, il pourrait être actionné par des commandes à distance envoyées par les criminels à l'origine de l'attaque. Grâce à ce cheval de Troie de porte dérobée, les pirates de TiltedTemple peuvent modifier les paramètres système, exfiltrer des informations et bien plus encore. Le vecteur d'attaque initial n'est pas encore clair.