Nieuwe „SockDetour“ fileless, socketless backdoor richt zich op Amerikaanse defensie-aannemers

SockDetour Malware Nachrichten

Cybersecurity-onderzoekers hebben een eerder ongedocumenteerde en onopvallende aangepaste malware genaamd SokOmweg die zich richtte op Amerikaanse defensie-aannemers met als doel te worden gebruikt als een secundair implantaat op gecompromitteerde Windows-hosts.

„SockDetour is een backdoor die is ontworpen om heimelijk op gecompromitteerde Windows-servers te blijven, zodat het kan dienen als backdoor voor het geval de primaire uitvalt“, Unit 41 van Palo Alto Networks. zei in een donderdag gepubliceerd rapport. „Het is moeilijk te detecteren, omdat het bestand en zonder socket werkt op gecompromitteerde Windows-servers.“

Nog zorgwekkender is dat SockDetour wordt verondersteld te zijn gebruikt bij aanvallen sinds ten minste juli 2019, op basis van een compilatietijdstempel op het monster, wat impliceert dat de achterdeur er meer dan tweeënhalf jaar met succes in slaagde om voorbij detectie te glippen.

De aanvallen zijn toegeschreven aan een dreigingscluster dat wordt bijgehouden als TiltedTemple (ook bekend als DEV-0322 door Microsoft), dat is aangewezen als bijnaam voor een hackgroep die opereert vanuit China en die een belangrijke rol speelde bij het exploiteren van zero-day-fouten in Zoho ManageEngine ADSelfService Plus en ServiceDesk Plus implementaties als lanceerplatform voor malware-aanvallen vorig jaar.

De banden met TiltedTemple komen voort uit overlappingen in de aanvalsinfrastructuur, waarbij een van de command-and-control (C2) -servers die werd gebruikt om de distributie van malware voor de campagnes van eind 2021 te vergemakkelijken, ook de SockDetour-backdoor host, naast een hulpprogramma voor geheugendumping en aantal webshells voor toegang op afstand.

Eenheid 42 zei dat het bewijs heeft gevonden van ten minste vier defensie-aannemers die het doelwit waren van de nieuwe golf van aanvallen, wat resulteerde in het compromitteren van een van hen.

De inbraken dateren ook een maand vóór de aanvallen die plaatsvonden via gecompromitteerde Zoho ManageEngine-servers in augustus 2021. Analyse van de campagne heeft uitgewezen dat SockDetour op 27 juli 2021 vanaf een externe FTP-server is geleverd aan een op internet gerichte Windows-server van een Amerikaanse defensie-aannemer.

„De FTP-server die SockDetour hostte was een gecompromitteerde Quality Network Appliance Provider (QNAP) small office en home office (SOHO) netwerk-attached storage (NAS) server“, aldus de onderzoekers. „Het is bekend dat de NAS-server meerdere kwetsbaarheden heeft, waaronder a uitvoering van externe code kwetsbaarheid, CVE-2021-28799.“

Bovendien zou dezelfde server al zijn geïnfecteerd met de QLocker-ransomware, waardoor de mogelijkheid bestaat dat de TiltedTemple-acteur dezelfde fout heeft gebruikt om ongeautoriseerde eerste toegang te krijgen.

SockDetour, van zijn kant, is gevormd als een stand-in achterdeur die legitieme procesnetwerksockets kaapt om zijn eigen versleutelde C2-kanaal tot stand te brengen, gevolgd door het laden van een niet-geïdentificeerd plug-in DLL-bestand dat is opgehaald van de server.

„Dus SockDetour vereist noch het openen van een luisterpoort om een ​​verbinding te ontvangen, noch het bellen naar een extern netwerk om een ​​extern C2-kanaal tot stand te brengen“, aldus de onderzoekers. „Dit maakt de achterdeur moeilijker te detecteren vanaf zowel host- als netwerkniveau.“

David
Rate author
Hackarizona