>> サイバーニュース > SockDetour Fileless Backdoor Targets U.S.-based Defense Contractors
サイバーニュース

SockDetourファイルレスバックドアは米国を拠点とする防衛産業の請負業者をターゲットにしています

SockDetourファイルレスバックドアは米国を拠点とする防衛産業の請負業者をターゲットにしています

セキュリティ研究者は、新しい高度な持続的脅威キャンペーンを検出しました, これは、Zoho ManageEngineADSelfServicePlusの脆弱性に関連して最初に特定されました CVE-2021-40539 およびServiceDeskPlusの脆弱性CVE-2021-44077.

パロアルトユニットによると 42, キャンペーンの背後にいる脅威アクターは、侵害されたシステムにアクセスして永続性を実現するために多くの手法を使用しました. さまざまなセクターにわたる12を超える組織が侵害されています, テクノロジーを含む, エネルギー, 健康管理, ファイナンス, 教育, と防衛. このキャンペーンを分析しながら, パロアルトは、追加の洗練されたツールを発見しました, 彼らはそれをSockDetourと呼んだ.




SockDetourとは?

SockDetourはカスタムバックドアです, これは、侵入先のシステムからプライマリバックドアが削除された場合のバックアップバックドアとしても機能します。. 分析は、検出が難しいことを示しています, 影響を受けるWindowsサーバー上でファイルレスおよびソケットレスモードで動作するため. バックドアは傾斜した寺院キャンペーンで追跡されました, 「メモリダンプツールやいくつかのWebシェルなどの他のその他のツール」で使用されています。

パロアルトは、SockDetourが米国を拠点とする防衛請負業者を標的にしていると信じています.
"単位 42 このキャンペーンの対象となる少なくとも4つの防衛請負業者の証拠があります, 少なくとも1人の請負業者の妥協で,」レポートは言った. 研究者たちはまた、洗練されたバックドアは少なくとも7月以来野生になっていると信じています 2019. しかし、マルウェアの追加サンプルが発見されなかったため、, それは何年もの間レーダーの下に首尾よくとどまったようです.

バックドア機能

マルウェアはカスタムバックドアです, 64ビットPEファイル形式でコンパイル, バックアップバックドアとして機能するように設計されています. この目的だけでも、非常にステルスで洗練されたバックドアになります.

SockDetourは、Windowsオペレーティングシステム用に開発されました, TCPポートをリッスンするサービスの実行. バックドアは、既存のネットワークソケットに対して行われたネットワーク接続を乗っ取り、暗号化されたコマンドアンドコントロールを確立できます。 (C2) ソケットを介してリモートの脅威アクターとチャネル. 言い換えると, マルウェアは接続を受信するためにリスニングポートを必要としません, また、リモートC2チャネルを作成するために外部ネットワークを呼び出す必要もありません。. これらの条件により、SockDetourは「ホストレベルとネットワークレベルの両方から検出するのがより困難になります」。

既存のソケットを乗っ取るには, マルウェアはプロセスのメモリに注入される必要があります. これを可能にするために, マルウェアコーダーは、ドーナツフレームワークを介してSockDetourをシェルコードに変換しました, オープンソースのシェルコードジェネレーター. それで, 彼はPowerSploitメモリインジェクターを使用してシェルコードをターゲットプロセスに挿入しました. 研究者は、攻撃者が侵害されたサーバー上のインジェクションターゲットプロセスを手動で選択した方法を示す証拠を見つけました.

注射が完了したら, バックドアはMicrosoftDetoursライブラリパッケージを利用します, ネットワークソケットを乗っ取るためのWindowsでのAPI呼び出しの監視とインストルメンテーション用に設計されています.

DetourAttachの使用() 関数, Winsockアクセプトにフックを接続します() 関数. フックを取り付けた状態, サービスポートに新しい接続が確立され、Winsockが受け入れる場合() API関数が呼び出されます, 承諾の呼び出し() 関数は、SockDetourで定義された悪意のある迂回関数に再ルーティングされます. その他の非C2トラフィックは元のサービスプロセスに戻され、対象のサービスが干渉なしに正常に動作することを保証します, レポート 言った.

この実装により、SockDetourが可能になります ファイルレスで動作する とソケットレス, プライマリが検出されて削除された場合のバックドアとして機能.

最近検出された別のバックドアマルウェア攻撃はWindowsを標的としていた, マックOS, およびLinuxオペレーティングシステム, SysJokerと呼ばれる, マルチプラットフォームマルウェアは現在、VirusTotalのどのセキュリティエンジンでも検出されていません. SysJokerは、主要な教育機関に属するLinuxベースのWebサーバーへの積極的な攻撃中に、Intezerの研究者によって発見されました。. . SysJokerと呼ばれる, マルチプラットフォームマルウェアは、VirusTotalのどのセキュリティエンジンでも検出されませんでした, それが最初に発見されたとき. SysJokerは、主要な教育機関に属するLinuxベースのWebサーバーへの積極的な攻撃中に、Intezerの研究者によって検出されました。.

ミレーナ・ディミトロワ

プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする

その他の投稿

フォローしてください:
ツイッター

コメントを残す

あなたのメールアドレスが公開されることはありません. 必須フィールドは、マークされています *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our プライバシーポリシー.
同意します