首页 > 安全 > 正文

Funless Sockdetour Backdoor Targets U.S.的防御承包商

最后更新 :2022.02.27

研究人员提供了有关针对我们基于美国的防御承包商的隐身定制恶意软件的细节。

来自Palo Alto Networks 42的网络安全研究人员分析了先前未记录和自定义的后门被追踪为  SockDetour 旨在的美国国防承包商。

根据专家介绍,自2019年7月以来,Sockdetour Backdoor已经在野外。

单元42将恶意软件与APT广告系列代码为TiltedTemple(AKA Dev-0322)属性,威胁演员也被利用Zoho Manageengine Adselfservice Plus漏洞(CVE-2021-40539) 和Servicedesk Plus漏洞(CVE-2021-44077)。攻击者成功地损失了多个行业的十几个组织,包括技术,能源,医疗保健,教育,金融和防御。

Sockdetour用作备份无线窗口后门,以防万一初学者被删除。TiltedTemple运算符使用的命令和控制(C2)服务器之一的分析显示存在其他杂项工具,包括内存倾倒工具和多个WebShells。

SockDeTour是一个后门,它旨在悄悄地对受损的Windows服务器保持困难,以便它可以作为备份后门,以防主机失败,读取由Palo Alto Networks发布的Analsysi。难以检测,因为它在受损的Windows服务器上无线和套接字操作。

一旦将SockDetour注入到过程的内存中,它劫持了合法处理网络套接字建立加密的C2通道,然后加载未认定的C2通道从服务器检索的插件DLL文件。

根据Microsoft DEV-0322是基于中国的APT组,哪个在攻击者中雇用了商业VPN解决方案并损害了消费路由器基础设施。
微软首次通过分析Microsoft 365&NBSP的攻击来发现DEV-0322攻击;在2021年7月的日常调查期间的后卫遥测。SockDetour backdoor
至少四个国防承包商被威胁演员瞄准,其中一个被妥协。以前是用Q锁定器赎金软件感染的。虽然我们分析的SockDetour样本的编译时间戳表明它可能在2019年至少7月至少进行了对PE文件的任何更新以来它可能在野外。此外,我们没有在公共存储库中找到任何其他额外的Sockdetour样本。这表明后门成功地待在雷达下面很长一段时间。总结该报告。

- END -

看更多