TiltedTemple APT implementeert de SockDetour-malware

Advanced Persistent Threat (APT)-actoren loeren altijd in de schaduw en plannen hun volgende sluwe campagne die nooit eerder vertoonde malware zou gebruiken. Natuurlijk zijn hun aanvallen niet altijd uitstekend, en soms krijgen we een voorproefje van de tools die deze spraakmakende bedreigingsgroepen gebruiken. Onlangs hebben antivirusleveranciers een gloednieuwe Trojaanse achterdeur gemeld die het product lijkt te zijn van een zeer geavanceerde APT-acteur die wordt gevolgd onder de alias TiltedTemple. De dreiging, SockDetour genaamd, is een gevaarlijke Trojaanse malware, die de mogelijkheid heeft om zijn operators blijvende toegang te geven tot geïnfecteerde netwerken en systemen.

Zoals je waarschijnlijk wel kunt raden, gaan hackers op hoog niveau zelden achter gewone gebruikers aan. In plaats daarvan zijn hun doelen veel specifieker. In dit geval is de SockDetour-malware gebruikt tegen netwerken van meerdere Amerikaanse defensie-aannemers. Dit zou kunnen betekenen dat de aanval politiek gemotiveerd is, maar dit moet nog volledig worden bevestigd.

SockDetour-malware is mogelijk al meer dan 2 jaar actief

Naar verluidt dateren sommige van de malware-samples die zijn hersteld van geïnfecteerde systemen uit 2019. Dit kan betekenen dat de SockDetour-malware al heel lang actief is en erin is geslaagd om onder de radar te blijven dankzij zijn onopvallende en ontwijkende mogelijkheden. De SockDetour Trojan kan zijn code in legitieme processen injecteren en werkt effectief in bestandsloze modus.

Tot nu toe was de malware uitsluitend gericht op Windows-machines. Eenmaal geplant, kan het worden bediend via externe commando's die door de criminelen achter de aanval worden gestuurd. Dankzij deze backdoor-trojan hebben de TiltedTemple-hackers mogelijk gewijzigde systeeminstellingen, geëxfiltreerde informatie en nog veel meer. De initiële aanvalsvector is nog niet duidelijk.