Jonathan Greig er en journalist baseret i New York City.
Fuld bio den 24. februar 2022 | Emne: Cybertrusler
Forskere ved Palo Alto Network's Unit 42 sagde, at de opdagede et værktøj – ved navn SockDetour – der fungerer som en backup bagdør i tilfælde af at den primære bliver fjernet. De mener, at det er muligt, at den har “været i naturen siden mindst juli 2019.”
Forskerne sagde, at bagdøren, som er kompileret i 64-bit PE-filformat, skilte sig ud og er svær at opdage. fordi det fungerer fil- og stikløst på kompromitterede Windows-servere.
“En af de kommando- og kontrol-infrastrukturer (C2), som trusselsaktøren brugte til malware-distribution til TiltedTemple-kampagnen, var vært for SockDetour sammen med andre diverse værktøjer såsom et hukommelsesdumpingværktøj og flere webshells. Vi sporer SockDetour som én kampagne inden for TiltedTemple, men kan endnu ikke sige definitivt, om aktiviteterne stammer fra en enkelt eller flere trusselsaktører,” forklarede forskerne.
“Baseret på Unit 42's telemetridata og analysen af de indsamlede prøver, mener vi, at trusselsaktøren bag SockDetour har været fokuseret på at målrette amerikansk-baserede forsvarsentreprenører ved hjælp af værktøjerne. Unit 42 har beviser for, at mindst fire forsvarsentreprenører er målrettet af dette kampagne, med et kompromis af mindst én entreprenør.”
SockDetour tillader angribere at forblive snigende på kompromitterede Windows-servere ved at indlæse filløst i legitime serviceprocesser og bruge legitime processers netværkssockets til at etablere sin egen krypterede C2-kanal .
Forskerne fandt ingen yderligere SockDetour-eksempler på offentlige arkiver, og plugin-DLL'en forbliver ukendt. De tilføjede, at det bliver leveret gennem SockDetours krypterede kanal og kommunikerer via kaprede sockets.
Enhed 42 bemærkede, at den type NAS-server, der findes, der hoster SockDetour, typisk bruges af små virksomheder.
Virksomheden knyttede bagdøren til en større APT-kampagne, som de kaldte TiltedTemple. De identificerede først TiltedTemple, mens de undersøgte dets brug af Zoho ManageEngine ADSelfService Plus-sårbarheden CVE-2021-40539 og ServiceDesk Plus-sårbarheden CVE-2021-44077.
“Vores første publikationer om TiltedTemple fokuserede på angreb, der fandt sted gennem kompromitterede ManageEngine ADSelfService Plus-servere og gennem ManageEngine ServiceDesk Plus,” sagde forskerne.
“TiltedTemple-kampagnen har kompromitteret organisationer på tværs af teknologi-, energi-, sundheds-, uddannelses-, finans- og forsvarsindustrien og udført rekognosceringsaktiviteter mod disse industrier og andre, herunder infrastruktur forbundet med fem amerikanske stater. Vi fandt SockDetour hostet på infrastruktur forbundet med TiltedTemple, selvom vi endnu ikke har fastslået, om dette er værket af en enkelt trusselsaktør eller flere.”
Enhed 42 begyndte sin undersøgelse af TitledTemple-kampagnen i august 2021 og fandt beviser for, at SockDetour “blev leveret fra en ekstern FTP-server til en amerikansk-baseret forsvarsleverandørs internet-vendte Windows-server den 27. juli 2021.”
FTP-serveren var også vært for andre værktøjer, der blev brugt af trusselsaktøren, såsom et hukommelsesdumpingværktøj og ASP-webshells, ifølge Unit 42. Virksomheden fandt ud af, at efter at have analyseret angrebet, var mindst tre andre USA-baserede forsvarsentreprenører målrettet af samme aktør.
“FTP-serveren, der hostede SockDetour, var en kompromitteret Quality Network Appliance Provider (QNAP) lille kontor og hjemmekontor (SOHO) netværkstilsluttet lager (NAS)-server. NAS-serveren er kendt for at har flere sårbarheder, herunder en sårbarhed ved fjernudførelse af kode, CVE-2021-28799,” sagde forskerne.
“Denne sårbarhed blev udnyttet af forskellige ransomware-familier i massive infektionskampagner i april 2021. Vi mener, at trusselsaktøren bag SockDetour sandsynligvis også udnyttede disse sårbarheder til at kompromittere NAS-serveren. Faktisk var NAS-serveren allerede inficeret med QLocker fra den tidligere ransomware kampagner.”
Enhed 42 bemærkede, at trusselsaktøren formåede at konvertere SockDetour til en shellcode ved hjælp af Donut framework open source shellcode generator. Når den injiceres i manuelt valgte målprocesser, “udnytter bagdøren Microsoft Detours-bibliotekspakken, som er designet til overvågning og instrumentering af API-kald på Windows for at kapre en netværkssocket.”
Sikkerhed
Ukrainske regeringswebsteder forstyrret af DDoS, visker-malware opdaget. Denne Android-malware gemte sig inde i en app downloadet 50.000 gange fra Google Play Butik Sådan sikrer du dit hjemme-/kontornetværk: De bedste DNS-blokkere og firewalls, som Microsoft advarer om ' ice phishing' trussel på blockchain, DeFi-netværk Sådan finder og fjerner du spyware fra din telefon Netværk