Sikkerhedsforskere opdagede en ny avanceret vedvarende trusselkampagne, som først blev identificeret i relation til Zoho ManageEngine ADSelfService Plus sårbarheden CVE-2021-40539 og ServiceDesk Plus sårbarhed CVE-2021-44077.
Ifølge Palo Alto Unit 42, trusselsaktørerne bag kampagnen brugte en række teknikker til at få adgang til kompromitterede systemer og opnå vedholdenhed. Mere end et dusin organisationer på tværs af forskellige sektorer er blevet kompromitteret, herunder teknologi, energi, sundhedspleje, finans, uddannelse, og forsvar. Mens du analyserer denne kampagne, Palo Alto afslørede et ekstra sofistisk værktøj, som de kaldte SockDetour.
Hvad er SockDetour?
SockDetour er en brugerdefineret bagdør, som også kan fungere som en backup bagdør i tilfælde af at den primære fjernes fra det kompromitterede system. Analysen viser, at det er svært at opdage, da den fungerer i en fil- og socketfri tilstand på de berørte Windows-servere. Bagdøren er blevet sporet i Tilted Temple-kampagnen, hvor det er blevet brugt med "andre forskellige værktøjer såsom et hukommelsesdumpingværktøj og flere webshells."
Palo Alto mener, at SockDetour har været rettet mod USA-baserede forsvarsentreprenører.
"Enhed 42 har beviser for, at mindst fire forsvarsentreprenører er målrettet af denne kampagne, med et kompromis med mindst én entreprenør,”Hedder det i rapporten. Forskerne mener også, at den sofistikerede bagdør har været i naturen i hvert fald siden juli 2019. Men da der ikke blev opdaget yderligere prøver af malwaren, det ser ud til, at den med succes holdt sig under radaren i årevis.
Bagdørs muligheder
Malwaren er en tilpasset bagdør, kompileret i et 64-bit PE-filformat, designet til at fungere som en backup bagdør. Alene dette formål gør det til en meget snigende og sofistikeret bagdør.
SockDetour er udviklet til Windows-operativsystemet, kører tjenester med lyttende TCP-porte. Bagdøren kan kapre netværksforbindelser, der er oprettet til den allerede eksisterende netværkssocket og etablere en krypteret kommando-og-kontrol (C2) kanal med fjerntrusselsaktørerne gennem stikkontakten. Med andre ord, malwaren behøver ikke en lytteport for at modtage en forbindelse, Det er heller ikke nødvendigt at ringe til et eksternt netværk for at oprette en ekstern C2-kanal. Disse forhold gør SockDetour "sværere at opdage fra både værts- og netværksniveau."
For at kapre eksisterende stikkontakter, malwaren skal injiceres i processens hukommelse. For at gøre dette muligt, malware-koderen konverterede SockDetour til en shellcode via Donut framework, en open source shellcode generator. Derefter, han brugte PowerSploit-hukommelsesinjektoren til at injicere shell-koden i målprocesser. Forskerne fandt bevis, der viser, hvordan trusselsaktøren manuelt valgte injektionsmålprocesser på de kompromitterede servere.
Når injektionen er afsluttet, bagdøren bruger bibliotekspakken Microsoft Detours, designet til overvågning og instrumentering af API-kald på Windows for at kapre en netværkssocket.
Brug af DetourAttach() funktion, den fastgør en krog til Winsock accepten() funktion. Med krogen på plads, når der oprettes nye forbindelser til serviceporten og Winsock accepterer() API-funktion aktiveres, opkaldet til accept() funktionen omdirigeres til den ondsindede omvejsfunktion, der er defineret i SockDetour. Anden ikke-C2-trafik returneres til den oprindelige serviceproces for at sikre, at den målrettede service fungerer normalt uden interferens, rapporten sagde.
Denne implementering gør det muligt for SockDetour at fungere filløst og stikkontakt, fungerer som bagdør i tilfælde, hvor den primære er blevet opdaget og fjernet.
En anden for nylig opdaget bagdør-malware-kampagne målrettet Windows, MacOS, og Linux operativsystemer, kaldet SysJoker, multi-platform malware er i øjeblikket ikke opdaget af nogen af sikkerhedsmotorerne i VirusTotal. SysJoker blev opdaget af Intezer-forskere under et aktivt angreb på en Linux-baseret webserver, der tilhører en førende uddannelsesinstitution. . Kaldes SysJoker, multi-platform malware blev ikke opdaget af nogen af sikkerhedsmotorerne i VirusTotal, da det først blev opdaget. SysJoker blev opdaget af Intezer-forskere under et aktivt angreb på en Linux-baseret webserver, der tilhører en førende uddannelsesinstitution.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: