Sicherheitsforscher entdeckten eine neue Advanced Persistent Threat-Kampagne, die erstmals im Zusammenhang mit der Zoho ManageEngine ADSelfService Plus-Schwachstelle identifiziert wurde CVE-2021-40539 und ServiceDesk Plus-Schwachstelle CVE-2021-44077.
Laut Palo Alto Unit 42, Die hinter der Kampagne stehenden Bedrohungsakteure verwendeten eine Reihe von Techniken, um auf kompromittierte Systeme zuzugreifen und Persistenz zu erreichen. Mehr als ein Dutzend Organisationen aus verschiedenen Sektoren wurden kompromittiert, inklusive Technik, Energie, Gesundheitswesen, Finanz, Bildung, und Verteidigung. Bei der Analyse dieser Kampagne, Palo Alto entdeckte ein weiteres raffiniertes Werkzeug, die sie SockDetour nannten.
Was ist SockDetour?
SockDetour ist eine benutzerdefinierte Hintertür, die auch als Backup-Hintertür fungieren kann, falls die primäre aus dem kompromittierten System entfernt wird. Die Analyse zeigt, dass es schwer zu erkennen ist, da es auf den betroffenen Windows-Servern in einem dateilosen und socketlosen Modus arbeitet. Die Hintertür wurde in der Kampagne Tilted Temple aufgespürt, wo es mit „anderen verschiedenen Tools wie einem Speicher-Dumping-Tool und mehreren Webshells“ verwendet wurde.
Palo Alto glaubt, dass SockDetour in den USA ansässige Rüstungsunternehmen ins Visier genommen hat.
"Einheit 42 hat Beweise dafür, dass mindestens vier Rüstungsunternehmen von dieser Kampagne betroffen sind, mit einem Kompromiss von mindestens einem Vertragspartner,“So der Bericht. Die Forscher glauben auch, dass die ausgeklügelte Hintertür mindestens seit Juli in freier Wildbahn ist 2019. Da wurden aber keine weiteren Samples der Malware entdeckt, es scheint, dass es jahrelang erfolgreich unter dem Radar blieb.
Backdoor-Fähigkeiten
Die Malware ist eine benutzerdefinierte Hintertür, kompiliert in einem 64-Bit-PE-Dateiformat, entwickelt, um als Backup-Hintertür zu dienen. Allein dieser Zweck macht es zu einer sehr verstohlenen und ausgeklügelten Hintertür.
SockDetour wurde für das Windows-Betriebssystem entwickelt, Ausführen von Diensten mit lauschenden TCP-Ports. Die Hintertür kann Netzwerkverbindungen kapern, die mit dem bereits vorhandenen Netzwerk-Socket hergestellt wurden, und eine verschlüsselte Befehls- und Kontrollfunktion einrichten (C2) Kanal mit den entfernten Bedrohungsakteuren über den Socket. Mit anderen Worten, Die Malware benötigt keinen Listening-Port, um eine Verbindung zu erhalten, Es muss auch kein externes Netzwerk angerufen werden, um einen entfernten C2-Kanal zu erstellen. Diese Bedingungen machen SockDetour „sowohl auf Host- als auch auf Netzwerkebene schwieriger zu erkennen“.
Vorhandene Steckdosen kapern, Die Malware muss in den Speicher des Prozesses eingeschleust werden. Um dies zu ermöglichen, der Malware-Codierer hat SockDetour über das Donut-Framework in einen Shellcode umgewandelt, ein Open-Source-Shellcode-Generator. Dann, Er verwendete den PowerSploit-Speicherinjektor, um den Shellcode in Zielprozesse einzufügen. Die Forscher fanden Beweise dafür, wie der Bedrohungsakteur manuell Injektionszielprozesse auf den kompromittierten Servern auswählte.
Sobald die Injektion abgeschlossen ist, Die Hintertür verwendet das Microsoft Detours-Bibliothekspaket, Entwickelt für die Überwachung und Instrumentierung von API-Aufrufen unter Windows, um einen Netzwerk-Socket zu kapern.
Mit dem DetourAttach() Funktion, Es fügt einen Haken an die Winsock-Akzeptanz an() Funktion. Mit dem Haken an Ort und Stelle, wenn neue Verbindungen zum Dienstport hergestellt werden und Winsock akzeptiert() API-Funktion wird aufgerufen, den Anruf zum Annehmen() Funktion wird an die in SockDetour definierte böswillige Umleitungsfunktion umgeleitet. Anderer Nicht-C2-Verkehr wird an den ursprünglichen Dienstprozess zurückgegeben, um sicherzustellen, dass der Zieldienst ohne Störung normal funktioniert, der Bericht sagte.
Diese Implementierung ermöglicht SockDetour dateilos zu arbeiten und steckdosenlos, dient als Hintertür in Fällen, in denen die primäre erkannt und entfernt wurde.
Eine weitere kürzlich entdeckte Backdoor-Malware-Kampagne zielte auf Windows ab, Mac OS, und Linux-Betriebssysteme, genannt SysJoker, die plattformübergreifende Malware wird derzeit von keiner der Sicherheits-Engines in VirusTotal erkannt. SysJoker wurde von Intezer-Forschern bei einem aktiven Angriff auf einen Linux-basierten Webserver einer führenden Bildungseinrichtung entdeckt. . Genannt SysJoker, Die plattformübergreifende Malware wurde von keiner der Sicherheits-Engines in VirusTotal erkannt, als es zum ersten Mal entdeckt wurde. SysJoker wurde von Intezer-Forschern während eines aktiven Angriffs auf einen Linux-basierten Webserver entdeckt, der zu einer führenden Bildungseinrichtung gehört.