TiltedTemple APT implanta o malware SockDetour

Os atores de ameaças persistentes avançadas (APT) estão sempre à espreita nas sombras, planejando sua próxima campanha desonesta que usaria malware nunca visto antes. É claro que seus ataques nem sempre são excelentes e, às vezes, damos uma espiada nas ferramentas que esses grupos de ameaças de alto perfil usam. Recentemente, fornecedores de antivírus relataram um novo backdoor de Trojan que parece ser o produto de um agente APT altamente sofisticado rastreado sob o pseudônimo TiltedTemple. A ameaça, apelidada de SockDetour, é um malware Trojan perigoso, que tem a capacidade de fornecer a seus operadores acesso persistente a redes e sistemas infectados.

Como você provavelmente pode imaginar, hackers de alto nível raramente perseguem usuários comuns. Em vez disso, seus alvos são muito mais específicos. Nesse caso, o SockDetour Malware foi usado contra redes pertencentes a vários contratados de defesa dos EUA. Isso pode significar que o ataque é politicamente motivado, mas isso ainda não foi totalmente confirmado.

Malware SockDetour pode estar ativo há mais de 2 anos

Alegadamente, algumas das amostras de malware que foram recuperadas de sistemas infectados datam de 2019. Isso pode significar que o SockDetour Malware está ativo há muito tempo e conseguiu permanecer sob o radar graças aos seus recursos furtivos e evasivos. O Trojan SockDetour é capaz de injetar seu código em processos legítimos, operando efetivamente no modo sem arquivo.

Até agora, o malware tem como alvo máquinas Windows exclusivamente. Uma vez plantado, poderia ser operado por meio de comandos remotos enviados pelos criminosos por trás do ataque. Graças a esse Trojan de backdoor, os hackers do TiltedTemple podem ter modificado as configurações do sistema, informações extraídas e muito mais. O vetor de ataque inicial ainda não está claro.