TiltedTemple APT 部署 SockDetour 惡意軟件
高級持續性威脅 (APT) 參與者總是潛伏在陰影中,計劃他們的下一個狡猾的活動,該活動將使用以前從未見過的惡意軟件。當然,他們的攻擊並不總是出色的,有時我們會偷偷窺探這些備受矚目的威脅組織使用的工具。最近,防病毒供應商報告了一個全新的木馬後門,該後門似乎是一個高度複雜的 APT 攻擊者的產物,該攻擊者以別名 TiltedTemple 進行跟踪。這種被稱為 SockDetour 的威脅是一種危險的特洛伊木馬惡意軟件,它能夠為其運營商提供對受感染網絡和系統的持續訪問權限。
正如您可能猜到的那樣,高級黑客很少針對普通用戶。相反,他們的目標要具體得多。在這種情況下,SockDetour 惡意軟件已被用於攻擊屬於多個美國國防承包商的網絡。這可能意味著這次襲擊是出於政治動機,但這尚未得到充分證實。
SockDetour 惡意軟件可能已活躍超過 2 年
據稱,從受感染系統中恢復的一些惡意軟件樣本可以追溯到 2019 年。這可能意味著 SockDetour 惡意軟件已經活躍了很長時間,並且由於其隱蔽和規避能力而設法保持低調。 SockDetour 木馬能夠將其代碼注入合法進程,有效地以無文件模式運行。
到目前為止,該惡意軟件一直專門針對 Windows 機器。一旦植入,它就可以通過攻擊背後的犯罪分子發送的遠程命令進行操作。多虧了這個後門木馬,TiltedTemple 黑客可能已經修改了系統設置、洩露了信息等等。最初的攻擊向量尚不清楚。