SockDetour Malware

Eine datei- und socketlose Backdoor-Bedrohung wurde verwendet, um Cyberkriminellen Backdoor-Zugriff auf bereits kompromittierte Computer zu verschaffen. Die Bedrohung wird als SockDetour-Malware verfolgt, und Einzelheiten zu ihrer Funktionsweise wurden in einem Bericht von Unit 42 von Palo Alto Network veröffentlicht.

Ihren Erkenntnissen zufolge ist es SockDeteour gelungen, seit 2019 mindestens drei Jahre lang von der Cybersecurity-Community unbemerkt zu bleiben. Sein Hauptzweck besteht darin, als sekundärer Backdoor-Kanal zu fungieren und es den Angreifern zu ermöglichen, ihre Präsenz auf den Zielcomputern aufrechtzuerhalten. Die Bedrohung ist äußerst heimlich, da sie ihre Operationen ausführt, indem sie legitime Dienstprozesse dateilos lädt und authentische Netzwerk-Sockets der zugehörigen Prozesse missbraucht, um eine Verbindung zu ihrem verschlüsselten Command-and-Control (C2, C&C)-Serverkanal herzustellen und aufrechtzuerhalten.

Zuordnung und Ziele

Die Infosec-Forscher von Unit 42 glauben, dass SockDetour Teil des Bedrohungsarsenals einer APT-Gruppe (Advanced Persistent Threat) ist, die als APT27 oder TiltedTemple bekannt ist. Die Gruppe ist bekannt für ihre früheren Aktivitäten, die sich an Unternehmen und Behörden richten, die in den Bereichen Verteidigung, Luft- und Raumfahrt, Regierung, Energie, Technologie und Fertigung tätig sind. Das offensichtliche Ziel der schädlichen Operationen ist Cyberspionage.

Die mit SockDetour infizierten Ziele passen in das bereits etablierte Profil. Bisher wurde die Malware im Netzwerk eines in den USA ansässigen Verteidigungsvertrags identifiziert, während drei weitere vermutlich von den Hackern angegriffen werden.