I ricercatori di sicurezza hanno rilevato una nuova campagna avanzata di minacce persistenti, identificato per la prima volta in relazione alla vulnerabilità Zoho ManageEngine ADSelfService Plus CVE-2021-40539 e la vulnerabilità ServiceDesk Plus CVE-2021-44077.
Secondo l'Unità di Palo Alto 42, gli attori delle minacce dietro la campagna hanno utilizzato una serie di tecniche per accedere ai sistemi compromessi e ottenere la persistenza. Più di una dozzina di organizzazioni in vari settori sono state compromesse, compresa la tecnologia, energia, assistenza sanitaria, finanza, educazione, e difesa. Durante l'analisi di questa campagna, Palo Alto ha scoperto un ulteriore strumento sofisticato, che hanno chiamato SockDetour.
Cos'è SockDetour?
SockDetour è una backdoor personalizzata, che può fungere anche da backdoor di backup nel caso in cui quella primaria venga rimossa dal sistema compromesso. L'analisi mostra che è difficile da rilevare, poiché opera in modalità fileless e socketless sui server Windows interessati. La backdoor è stata rintracciata nella campagna del tempio inclinato, dove è stato utilizzato con "altri strumenti vari come uno strumento di dumping della memoria e diverse webshell".
Palo Alto crede che SockDetour abbia preso di mira gli appaltatori della difesa con sede negli Stati Uniti.
"Unità 42 ha prove di almeno quattro appaltatori della difesa presi di mira da questa campagna, con il compromesso di almeno un appaltatore,”Dice il rapporto. I ricercatori ritengono anche che la sofisticata backdoor sia in circolazione almeno da luglio 2019. Ma dal momento che non sono stati scoperti ulteriori campioni del malware, sembra che sia rimasto con successo sotto il radar per anni.
Capacità di backdoor
Il malware è una backdoor personalizzata, compilato in un formato di file PE a 64 bit, progettato per fungere da backdoor di backup. Questo scopo da solo lo rende una backdoor molto furtiva e sofisticata.
SockDetour è stato sviluppato per il sistema operativo Windows, servizi in esecuzione con porte TCP in ascolto. La backdoor può dirottare le connessioni di rete effettuate al socket di rete preesistente e stabilire un comando e controllo crittografato (C2) canale con gli attori della minaccia remota attraverso il socket. In altre parole, il malware non ha bisogno di una porta di ascolto per ricevere una connessione, né è necessario chiamare una rete esterna per creare un canale C2 remoto. Queste condizioni rendono SockDetour "più difficile da rilevare sia a livello di host che di rete".
Per dirottare le prese esistenti, il malware deve essere iniettato nella memoria del processo. Per renderlo possibile, il codificatore malware ha convertito SockDetour in uno shellcode tramite il framework Donut, un generatore di shellcode open source. Poi, ha usato l'iniettore di memoria PowerSploit per iniettare lo shellcode nei processi di destinazione. I ricercatori hanno trovato prove che mostrano come l'attore della minaccia abbia scelto manualmente i processi di destinazione dell'iniezione sui server compromessi.
Una volta completata l'iniezione, la backdoor utilizza il pacchetto della libreria Microsoft Detours, progettato per il monitoraggio e la strumentazione delle chiamate API su Windows per dirottare un socket di rete.
Usando il DetourAttach() funzione, attacca un gancio al Winsock accettare() funzione. Con il gancio in posizione, quando vengono effettuate nuove connessioni alla porta del servizio e il Winsock accetta() Viene richiamata la funzione API, la chiamata all'accettazione() la funzione viene reindirizzata alla funzione di deviazione dannosa definita in SockDetour. L'altro traffico non C2 viene restituito al processo di servizio originale per garantire che il servizio di destinazione funzioni normalmente senza interferenze, il rapporto disse.
Questa implementazione rende possibile SockDetour per operare senza file e senza presa, fungendo da backdoor nei casi in cui quella primaria è stata rilevata e rimossa.
Un'altra campagna di malware backdoor rilevata di recente Windows mirato, Mac OS, e sistemi operativi Linux. Si chiama SysJoker, il malware multipiattaforma non è stato rilevato da nessuno dei motori di sicurezza in VirusTotal, quando fu scoperto per la prima volta. SysJoker è stato rilevato dai ricercatori Intezer durante un attacco attivo a un server Web basato su Linux che appartiene a un importante istituto di istruzione.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: