TiltedTempleAPTはSockDetourマルウェアを展開します
Advanced Persistent Threat(APT)アクターは常に影に潜んでおり、これまでに見たことのないマルウェアを使用する次の悪意のあるキャンペーンを計画しています。もちろん、彼らの攻撃は必ずしも優れているとは限りません。また、これらの有名な脅威グループが使用しているツールを覗き見することもあります。最近、ウイルス対策ベンダーは、別名TiltedTempleで追跡された高度に洗練されたAPTアクターの製品であると思われる新しいトロイの木馬バックドアを報告しました。 SockDetourと呼ばれるこの脅威は、危険なトロイの木馬マルウェアであり、感染したネットワークやシステムへの永続的なアクセスをオペレーターに提供する機能を備えています。
ご想像のとおり、高レベルのハッカーが通常のユーザーを追いかけることはめったにありません。代わりに、それらのターゲットははるかに具体的です。この場合、SockDetourマルウェアは、複数の米国の防衛請負業者に属するネットワークに対して使用されています。これは、攻撃が政治的な動機によるものであることを意味している可能性がありますが、これはまだ完全には確認されていません。
SockDetourマルウェアは2年以上アクティブになっている可能性があります
伝えられるところによると、感染したシステムから回収されたマルウェアサンプルの一部は2019年にさかのぼります。これは、SockDetourマルウェアが長期間アクティブであり、ステルス機能と回避機能のおかげでレーダーの下にとどまっていることを意味している可能性があります。 SockDetourトロイの木馬は、正当なプロセスにコードを挿入し、ファイルレスモードで効果的に動作することができます。
これまでのところ、マルウェアはWindowsマシンのみを標的にしてきました。植え付けられると、攻撃の背後にいる犯罪者から送信されたリモートコマンドを介して操作できます。このバックドア型トロイの木馬のおかげで、TiltedTempleハッカーは、システム設定を変更したり、情報を盗み出したりする可能性があります。最初の攻撃ベクトルはまだ明確ではありません。