TiltedTemple APT distribuisce il malware SockDetour

Gli attori di Advanced Persistent Threat (APT) sono sempre in agguato nell'ombra, pianificando la loro prossima campagna subdola che utilizzerebbe malware mai visto prima. Naturalmente, i loro attacchi non sono sempre eccellenti e talvolta diamo un'occhiata agli strumenti utilizzati da questi gruppi di minacce di alto profilo. Di recente, i fornitori di antivirus hanno segnalato una backdoor trojan nuova di zecca che sembra essere il prodotto di un attore APT altamente sofisticato monitorato con lo pseudonimo di TiltedTemple. La minaccia, soprannominata SockDetour, è un pericoloso malware Trojan, che ha la capacità di fornire ai suoi operatori un accesso persistente a reti e sistemi infetti.

Come probabilmente puoi immaginare, gli hacker di alto livello raramente inseguono gli utenti ordinari. Invece, i loro obiettivi sono molto più specifici. In questo caso, il malware SockDetour è stato utilizzato contro reti appartenenti a più appaltatori della difesa statunitensi. Ciò potrebbe significare che l'attacco è motivato politicamente, ma questo deve ancora essere confermato completamente.

Il malware SockDetour potrebbe essere attivo da oltre 2 anni

Presumibilmente, alcuni dei campioni di malware recuperati dai sistemi infetti risalgono al 2019. Ciò potrebbe significare che il malware SockDetour è attivo da molto tempo ed è riuscito a rimanere sotto il radar grazie alle sue capacità invisibili ed evasive. Il Trojan SockDetour è in grado di iniettare il suo codice in processi legittimi, operando effettivamente in modalità fileless.

Finora, il malware ha preso di mira esclusivamente le macchine Windows. Una volta piantato, potrebbe essere azionato tramite comandi remoti inviati dai criminali dietro l'attacco. Grazie a questo Trojan backdoor, gli hacker di TiltedTemple potrebbero aver modificato le impostazioni di sistema, esfiltrato informazioni e molto altro. Il vettore di attacco iniziale non è ancora chiaro.