TiltedTemple APT развертывает вредоносное ПО SockDetour

Субъекты Advanced Persistent Threat (APT) всегда прячутся в тени, планируя свою следующую коварную кампанию, в которой будет использоваться невиданное ранее вредоносное ПО. Конечно, их атаки не всегда хороши, и иногда мы можем украдкой взглянуть на инструменты, которые используют эти известные группы угроз. Недавно поставщики антивирусов сообщили о совершенно новом троянском бэкдоре, который, по-видимому, является продуктом очень сложной APT-акторной группы, отслеживаемой под псевдонимом TiltedTemple. Угроза, получившая название SockDetour, представляет собой опасную троянскую вредоносную программу, способную предоставлять своим операторам постоянный доступ к зараженным сетям и системам.

Как вы, наверное, догадались, хакеры высокого уровня редко преследуют обычных пользователей. Вместо этого их цели гораздо более конкретны. В этом случае вредоносное ПО SockDetour использовалось против сетей, принадлежащих нескольким оборонным подрядчикам США. Это может означать, что нападение имеет политическую подоплеку, но это еще предстоит полностью подтвердить.

Вредоносное ПО SockDetour могло быть активным более 2 лет

Предположительно, некоторые из образцов вредоносных программ, которые были восстановлены из зараженных систем, относятся к 2019 году. Это может означать, что вредоносное ПО SockDetour активно действует в течение длительного времени и ему удается оставаться незамеченным благодаря своим возможностям скрытности и уклонения. Троянец SockDetour способен внедрять свой код в легитимные процессы, эффективно работая в безфайловом режиме.

До сих пор вредоносное ПО было нацелено исключительно на машины с Windows. После установки им можно было управлять с помощью удаленных команд, отправленных преступниками, стоящими за атакой. Благодаря этому трояну-бэкдору хакеры TiltedTemple могли изменить системные настройки, украсть информацию и многое другое. Начальный вектор атаки пока не ясен.