Des chercheurs en sécurité ont détecté une nouvelle campagne de menace persistante avancée, qui a été identifié pour la première fois en relation avec la vulnérabilité Zoho ManageEngine ADSelfService Plus CVE-2021-40539 et vulnérabilité ServiceDesk Plus CVE-2021-44077.
Selon l'unité de Palo Alto 42, les acteurs de la menace à l'origine de la campagne ont utilisé un certain nombre de techniques pour accéder aux systèmes compromis et parvenir à la persistance. Plus d'une douzaine d'organisations de divers secteurs ont été compromises, y compris la technologie, énergie, soins de santé, finance, éducation, et défense. Lors de l'analyse de cette campagne, Palo Alto a découvert un outil sophistiqué supplémentaire, qu'ils ont appelé SockDetour.
Qu'est-ce que SockDetour?
SockDetour est une porte dérobée personnalisée, qui peut également servir de porte dérobée de secours au cas où la principale serait supprimée du système compromis. L'analyse montre qu'il est difficile de détecter, car il fonctionne en mode sans fichier et sans socket sur les serveurs Windows concernés. La porte dérobée a été suivie dans la campagne Tilted Temple, où il a été utilisé avec "d'autres outils divers tels qu'un outil de vidage de mémoire et plusieurs webshells".
Palo Alto pense que SockDetour cible les sous-traitants de la défense basés aux États-Unis.
"Unité 42 a des preuves qu'au moins quatre sous-traitants de la défense sont ciblés par cette campagne, avec un compromis d'au moins un entrepreneur,» Le rapport. Les chercheurs pensent également que la porte dérobée sophistiquée est dans la nature depuis au moins juillet 2019. Mais comme aucun échantillon supplémentaire du logiciel malveillant n'a été découvert, il semble qu'il soit resté avec succès sous le radar pendant des années.
Capacités de porte dérobée
Le malware est une porte dérobée personnalisée, compilé dans un format de fichier PE 64 bits, conçu pour servir de porte dérobée de secours. Ce seul but en fait une porte dérobée très furtive et sophistiquée.
SockDetour a été développé pour le système d'exploitation Windows, exécuter des services avec des ports TCP à l'écoute. La porte dérobée peut détourner les connexions réseau établies avec la prise réseau préexistante et établir une commande et un contrôle cryptés (C2) canal avec les acteurs de la menace distants via le socket. En d'autres termes, le logiciel malveillant n'a pas besoin d'un port d'écoute pour recevoir une connexion, il n'est pas non plus nécessaire d'appeler un réseau externe pour créer un canal C2 distant. Ces conditions rendent SockDetour "plus difficile à détecter à la fois au niveau de l'hôte et du réseau".
Pour détourner des sockets existants, le malware doit être injecté dans la mémoire du processus. Pour rendre cela possible, le codeur de logiciels malveillants a converti SockDetour en un shellcode via le framework Donut, un générateur de shellcode open source. Puis, il a utilisé l'injecteur de mémoire PowerSploit pour injecter le shellcode dans les processus cibles. Les chercheurs ont trouvé des preuves qui montrent comment l'auteur de la menace a choisi manuellement les processus cibles d'injection sur les serveurs compromis..
Une fois l'injection terminée, la porte dérobée utilise le package de bibliothèque Microsoft Detours, conçu pour la surveillance et l'instrumentation des appels d'API sur Windows pour détourner un socket réseau.
Utilisation de DetourAttach() fonction, il attache un crochet au Winsock accept() fonction. Avec le crochet en place, lorsque de nouvelles connexions sont établies sur le port de service et que le Winsock accepte() La fonction API est invoquée, l'appel à l'acceptation() la fonction est redirigée vers la fonction de détour malveillante définie dans SockDetour. L'autre trafic non-C2 est renvoyé au processus de service d'origine pour s'assurer que le service ciblé fonctionne normalement sans interférence, le rapport dit.
Cette implémentation permet à SockDetour fonctionner sans fichier et sans prise, servant de porte dérobée dans les cas où la principale a été détectée et supprimée.
Une autre campagne de logiciels malveillants de porte dérobée récemment détectée Windows ciblé, macOS, et systèmes d'exploitation Linux. Appelé SysJoker, le logiciel malveillant multiplateforme n'a été détecté par aucun des moteurs de sécurité de VirusTotal, quand il a été découvert pour la première fois. SysJoker a été détecté par des chercheurs d'Intezer lors d'une attaque active sur un serveur Web basé sur Linux appartenant à un établissement d'enseignement de premier plan.