A TiltedTemple APT telepíti a SockDetour kártevőt

Az Advanced Persistent Threat (APT) szereplői mindig az árnyékban leselkednek, és a következő, ámulatba ejtő kampányukat tervezik, amely korábban soha nem látott rosszindulatú programokat használna. Természetesen a támadásaik nem mindig kiválóak, és néha bepillantást nyerhetünk azokba az eszközökbe, amelyeket ezek a nagy horderejű fenyegetőcsoportok használnak. A közelmúltban a víruskereső gyártók egy vadonatúj trójai hátsó ajtóról számoltak be, amely úgy tűnik, egy rendkívül kifinomult APT-szereplő terméke, akit TiltedTemple álnéven követnek. A SockDetour névre keresztelt fenyegetés egy veszélyes trójai kártevő, amely képes üzemeltetőinek folyamatos hozzáférést biztosítani a fertőzött hálózatokhoz és rendszerekhez.

Amint azt valószínűleg sejtheti, a magas szintű hackerek ritkán keresik a hétköznapi felhasználókat. Ehelyett a céljaik sokkal konkrétabbak. Ebben az esetben a SockDetour Malware-t több amerikai védelmi vállalkozóhoz tartozó hálózatok ellen használták. Ez azt jelentheti, hogy a támadás politikai indíttatású, de ezt még teljes mértékben meg kell erősíteni.

A SockDetour kártevő több mint 2 éve aktív lehet

Állítólag a fertőzött rendszerekről visszakerült kártevő-minták egy része 2019-re nyúlik vissza. Ez azt jelentheti, hogy a SockDetour Malware már régóta aktív, és lopakodó és kitérő képességeinek köszönhetően sikerült a radar alatt maradnia. A SockDetour trójai képes beilleszteni kódját legitim folyamatokba, hatékonyan működik fájl nélküli módban.

A kártevő eddig kizárólag a Windows-os gépeket célozta meg. A telepítést követően a támadás mögött álló bűnözők által küldött távoli parancsokkal működtethető. Ennek a hátsó ajtós trójainak köszönhetően a TiltedTemple hackerei módosították a rendszerbeállításokat, kiszűrték az információkat és még sok mást. A kezdeti támadás vektora még nem világos.