TiltedTemple APT 部署 SockDetour 恶意软件
高级持续性威胁 (APT) 参与者总是潜伏在阴影中,计划他们的下一个狡猾的活动,该活动将使用以前从未见过的恶意软件。当然,他们的攻击并不总是出色的,有时我们会偷偷窥探这些备受瞩目的威胁组织使用的工具。最近,防病毒供应商报告了一个全新的木马后门,该后门似乎是一个高度复杂的 APT 攻击者的产物,该攻击者以别名 TiltedTemple 进行跟踪。这种被称为 SockDetour 的威胁是一种危险的特洛伊木马恶意软件,它能够为其运营商提供对受感染网络和系统的持续访问权限。
正如您可能猜到的那样,高级黑客很少针对普通用户。相反,他们的目标要具体得多。在这种情况下,SockDetour 恶意软件已被用于攻击属于多个美国国防承包商的网络。这可能意味着这次袭击是出于政治动机,但这尚未得到充分证实。
SockDetour 恶意软件可能已活跃超过 2 年
据称,从受感染系统中恢复的一些恶意软件样本可以追溯到 2019 年。这可能意味着 SockDetour 恶意软件已经活跃了很长时间,并且由于其隐蔽和规避能力而设法保持低调。 SockDetour 木马能够将其代码注入合法进程,有效地以无文件模式运行。
到目前为止,该恶意软件一直专门针对 Windows 机器。一旦种植,它可以通过攻击背后的犯罪分子发送的远程命令进行操作。多亏了这个后门木马,TiltedTemple 黑客可能已经修改了系统设置、泄露了信息等等。最初的攻击向量尚不清楚。