TiltedTemple APT wdraża złośliwe oprogramowanie SockDetour

Aktorzy Advanced Persistent Threat (APT) zawsze czają się w cieniu, planując kolejną przebiegłą kampanię, która wykorzysta nigdy wcześniej nie widziane złośliwe oprogramowanie. Oczywiście ich ataki nie zawsze są doskonałe i czasami możemy zajrzeć do narzędzi używanych przez te głośne grupy zagrożeń. Ostatnio producenci oprogramowania antywirusowego donieśli o zupełnie nowym backdoorze trojańskim, który wydaje się być produktem wysoce wyrafinowanego aktora APT śledzonego pod aliasem TiltedTemple. Zagrożenie, nazwane SockDetour, to niebezpieczny trojan, który ma zdolność zapewniania swoim operatorom stałego dostępu do zainfekowanych sieci i systemów.

Jak można się domyślić, hakerzy wysokiego poziomu rzadko atakują zwykłych użytkowników. Zamiast tego ich cele są znacznie bardziej szczegółowe. W tym przypadku złośliwe oprogramowanie SockDetour zostało użyte przeciwko sieciom należącym do wielu wykonawców obrony USA. Może to oznaczać, że atak jest motywowany politycznie, ale nie zostało to jeszcze w pełni potwierdzone.

Złośliwe oprogramowanie SockDetour mogło być aktywne od ponad 2 lat

Podobno niektóre próbki złośliwego oprogramowania, które zostały odzyskane z zainfekowanych systemów, pochodziły z 2019 r. Może to oznaczać, że złośliwe oprogramowanie SockDetour było aktywne przez długi czas i udało mu się pozostać niezauważonym dzięki swoim możliwościom ukrywania się i unikania. Trojan SockDetour potrafi wstrzyknąć swój kod w legalne procesy, skutecznie działając w trybie bezplikowym.

Do tej pory złośliwe oprogramowanie atakowało wyłącznie komputery z systemem Windows. Po umieszczeniu mógł być obsługiwany za pomocą zdalnych poleceń wysyłanych przez przestępców stojących za atakiem. Dzięki temu trojanowi typu backdoor hakerzy TiltedTemple mogą modyfikować ustawienia systemu, wykradać informacje i wiele więcej. Początkowy wektor ataku nie jest jeszcze jasny.