TiltedTemple APT distribuerer SockDetour-malware

APT-skuespillere (Advanced Persistent Threat) lurer alltid i skyggene, og planlegger sin neste utspekulerte kampanje som vil bruke skadelig programvare som aldri har vært sett før. Angrepene deres er selvfølgelig ikke alltid gode, og noen ganger får vi en sniktitt på verktøyene som disse høyprofilerte trusselgruppene bruker. Nylig har antivirusleverandører rapportert om en helt ny trojansk bakdør som ser ut til å være et produkt av en svært sofistikert APT-aktør sporet under aliaset TiltedTemple. Trusselen, kalt SockDetour, er en farlig trojansk malware, som har evnen til å gi sine operatører vedvarende tilgang til infiserte nettverk og systemer.

Som du sikkert kan gjette, går hackere på høyt nivå sjelden etter vanlige brukere. I stedet er målene deres langt mer spesifikke. I dette tilfellet har SockDetour Malware blitt brukt mot nettverk som tilhører flere amerikanske forsvarsentreprenører. Dette kan bety at angrepet er politisk motivert, men dette er ennå ikke bekreftet fullt ut.

SockDetour-malware kan ha vært aktiv i over 2 år

Angivelig dateres noen av malware-prøvene som ble gjenopprettet fra infiserte systemer tilbake til 2019. Dette kan bety at SockDetour Malware har vært aktiv i lang tid, og den har klart å holde seg under radaren takket være dens stealth og unnvikende evner. SockDetour-trojaneren er i stand til å injisere koden sin i legitime prosesser, og fungerer effektivt i filløs modus.

Så langt har skadelig programvare utelukkende vært rettet mot Windows-maskiner. Når den er plantet, kan den betjenes gjennom fjernkommandoer sendt av kriminelle bak angrepet. Takket være denne bakdørstrojaneren kan TiltedTemple-hackerne ha modifiserte systeminnstillinger, eksfiltrert informasjon og mye mer. Den første angrepsvektoren er ennå ikke klar.