TiltedTemple APT distribuerar SockDetour Malware

APT-skådespelare (Advanced Persistent Threat) lurar alltid i skuggorna och planerar sin nästa listiga kampanj som aldrig tidigare sett skadlig programvara. Naturligtvis är deras attacker inte alltid utmärkta, och ibland får vi en smygtitt på de verktyg som dessa högprofilerade hotgrupper använder. Nyligen har antivirusleverantörer rapporterat en helt ny trojansk bakdörr som verkar vara produkten av en mycket sofistikerad APT-aktör som spåras under aliaset TiltedTemple. Hotet, kallat SockDetour, är en farlig trojansk skadlig kod, som har förmågan att ge sina operatörer beständig åtkomst till infekterade nätverk och system.

Som du säkert kan gissa går hackare på hög nivå sällan efter vanliga användare. Istället är deras mål mycket mer specifika. I det här fallet har SockDetour Malware använts mot nätverk som tillhör flera amerikanska försvarsentreprenörer. Detta kan betyda att attacken är politiskt motiverad, men detta har ännu inte bekräftats fullt ut.

SockDetour Malware kan ha varit aktiv i över 2 år

Påstås ha några av de skadliga proverna som återfanns från infekterade system daterades tillbaka till 2019. Detta kan betyda att SockDetour Malware har varit aktiv under en lång tid, och den har lyckats hålla sig under radarn tack vare dess smygande och undvikande kapacitet. SockDetour-trojanen kan injicera sin kod i legitima processer och fungerar effektivt i fillöst läge.

Hittills har den skadliga programvaran enbart riktat sig mot Windows-maskiner. När den väl planterats kunde den manövreras genom fjärrkommandon som skickades av brottslingarna bakom attacken. Tack vare denna bakdörrstrojan kan TiltedTemple-hackarna ha modifierade systeminställningar, exfiltrerad information och mycket mer. Den initiala attackvektorn är ännu inte klar.