TiltedTemple APT diegia SockDetour kenkėjišką programą

Išplėstinės nuolatinės grėsmės (APT) aktoriai visada slypi šešėlyje ir planuoja kitą savo klastingą kampaniją, kuriai būtų panaudota dar nematyta kenkėjiška programa. Žinoma, jų išpuoliai ne visada yra puikūs, ir kartais galime šiek tiek pažvelgti į įrankius, kuriuos naudoja šios aukšto lygio grėsmių grupės. Neseniai antivirusinės programos pardavėjai pranešė apie visiškai naują Trojos arklį, kuris, atrodo, yra labai sudėtingo APT veikėjo, sekamo slapyvardžiu TiltedTemple, produktas. Grėsmė, pavadinta SockDetour, yra pavojinga Trojos arklys, galinti suteikti savo operatoriams nuolatinę prieigą prie užkrėstų tinklų ir sistemų.

Kaip tikriausiai galite atspėti, aukšto lygio įsilaužėliai retai eina paskui paprastus vartotojus. Vietoj to, jų tikslai yra daug konkretesni. Šiuo atveju SockDetour kenkėjiška programa buvo panaudota prieš tinklus, priklausančius keliems JAV gynybos rangovams. Tai gali reikšti, kad ataka yra politiškai motyvuota, tačiau tai dar turi būti visiškai patvirtinta.

„SockDetour“ kenkėjiška programa galėjo būti aktyvi daugiau nei 2 metus

Teigiama, kad kai kurie kenkėjiškų programų pavyzdžiai, kurie buvo atkurti iš užkrėstų sistemų, buvo datuojami 2019 m. Tai gali reikšti, kad SockDetour kenkėjiška programa buvo aktyvi ilgą laiką ir sugebėjo likti po radaru dėl savo slaptų ir vengimo galimybių. SockDetour Trojos arklys gali įvesti savo kodą į teisėtus procesus, efektyviai veikdamas be failų režimu.

Iki šiol kenkėjiška programa buvo skirta tik „Windows“ kompiuteriams. Pasodintas jis gali būti valdomas nuotolinėmis komandomis, kurias siunčia ataką vykdę nusikaltėliai. Dėl šio užpakalinių durų Trojos arklys, TiltedTemple įsilaužėliai galėjo pakeisti sistemos nustatymus, išfiltruoti informaciją ir daug daugiau. Pradinis atakos vektorius dar nėra aiškus.