Los investigadores de seguridad detectaron una nueva campaña avanzada de amenazas persistentes, que se identificó por primera vez en relación con la vulnerabilidad Zoho ManageEngine ADSelfService Plus CVE-2021-40539 y ServiceDesk Plus vulnerabilidad CVE-2021-44077.
Según la Unidad de Palo Alto 42, los actores de amenazas detrás de la campaña utilizaron una serie de técnicas para acceder a los sistemas comprometidos y lograr la persistencia. Más de una docena de organizaciones de varios sectores se han visto comprometidas., incluida la tecnología, energía, cuidado de la salud, finanzas, educación, y defensa. Al analizar esta campaña, Palo Alto descubrió una herramienta sofisticada adicional, al que llamaron SockDetour.
¿Qué es SockDetour??
SockDetour es una puerta trasera personalizada, que también puede actuar como una puerta trasera de respaldo en caso de que la principal se elimine del sistema comprometido. El análisis muestra que es difícil detectar, ya que funciona en un modo sin archivos y sin sockets en los servidores de Windows afectados. La puerta trasera ha sido rastreada en la campaña Tilted Temple, donde se ha utilizado con "otras herramientas diversas, como una herramienta de volcado de memoria y varios webshells".
Palo Alto cree que SockDetour ha estado apuntando a contratistas de defensa con sede en EE. UU..
"Unidad 42 tiene evidencia de que al menos cuatro contratistas de defensa están en el punto de mira de esta campaña, con el compromiso de al menos un contratista,”Según el informe. Los investigadores también creen que la puerta trasera sofisticada ha estado en libertad al menos desde julio. 2019. Pero dado que no se descubrieron muestras adicionales del malware, parece que se mantuvo con éxito bajo el radar durante años.
Capacidades de puerta trasera
El malware es una puerta trasera personalizada, compilado en un formato de archivo PE de 64 bits, diseñado para servir como una puerta trasera de respaldo. Este solo propósito lo convierte en una puerta trasera muy sigilosa y sofisticada..
SockDetour ha sido desarrollado para el sistema operativo Windows, ejecutando servicios con puertos TCP de escucha. La puerta trasera puede secuestrar las conexiones de red realizadas al socket de red preexistente y establecer un comando y control encriptado. (C2) canal con los actores de amenazas remotos a través del socket. En otras palabras, el malware no necesita un puerto de escucha para recibir una conexión, ni necesita llamar a una red externa para crear un canal C2 remoto. Estas condiciones hacen que SockDetour sea "más difícil de detectar tanto a nivel de host como de red".
Para secuestrar sockets existentes, el malware necesita ser inyectado en la memoria del proceso. Para hacer esto posible, el codificador de malware convirtió SockDetour en un shellcode a través del marco Donut, un generador de shellcode de código abierto. Entonces, usó el inyector de memoria PowerSploit para inyectar el shellcode en los procesos de destino. Los investigadores encontraron pruebas que muestran cómo el actor de amenazas eligió manualmente los procesos de destino de inyección en los servidores comprometidos..
Una vez completada la inyección, la puerta trasera utiliza el paquete de biblioteca Microsoft Detours, diseñado para el monitoreo e instrumentación de llamadas API en Windows para secuestrar un socket de red.
Uso de DetourAttach() función, adjunta un gancho al Winsock aceptar() función. Con el gancho en su lugar, cuando se realizan nuevas conexiones al puerto de servicio y el Winsock acepta() Se invoca la función API, la llamada al aceptar() la función se redirige a la función de desvío malicioso definida en SockDetour. El resto del tráfico que no es C2 se devuelve al proceso de servicio original para garantizar que el servicio de destino funcione normalmente sin interferencias., el informe dijo.
Esta implementación hace posible que SockDetour operar sin archivos y sin enchufe, sirviendo como una puerta trasera en los casos en que la principal ha sido detectada y eliminada.
Otra campaña de malware de puerta trasera detectada recientemente ventanas dirigidas, Mac OS, y sistemas operativos Linux. Llamado SysJoker, ninguno de los motores de seguridad de VirusTotal detectó el malware multiplataforma, cuando se descubrió por primera vez. SysJoker fue detectado por investigadores de Intezer durante un ataque activo a un servidor web basado en Linux que pertenece a una institución educativa líder.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: