SockDetourファイルレスバックドアは米国を拠点とする防衛産業の請負業者をターゲットにしています

セキュリティ研究者は、新しい高度な持続的脅威キャンペーンを検出しました, これは、Zoho ManageEngineADSelfServicePlusの脆弱性に関連して最初に特定されました CVE-2021-40539 およびServiceDeskPlusの脆弱性CVE-2021-44077.

パロアルトユニットによると 42, キャンペーンの背後にいる脅威アクターは、侵害されたシステムにアクセスして永続性を実現するために多くの手法を使用しました. さまざまなセクターにわたる12を超える組織が侵害されています, テクノロジーを含む, エネルギー, 健康管理, ファイナンス, 教育, と防衛. このキャンペーンを分析しながら, パロアルトは、追加の洗練されたツールを発見しました, 彼らはそれをSockDetourと呼んだ.

SockDetourとは?

SockDetourはカスタムバックドアです, これは、侵入先のシステムからプライマリバックドアが削除された場合のバックアップバックドアとしても機能します。. 分析は、検出が難しいことを示しています, 影響を受けるWindowsサーバー上でファイルレスおよびソケットレスモードで動作するため. バックドアは傾斜した寺院キャンペーンで追跡されました, 「メモリダンプツールやいくつかのWebシェルなどの他のその他のツール」で使用されています。

パロアルトは、SockDetourが米国を拠点とする防衛請負業者を標的にしていると信じています.
"単位 42 このキャンペーンの対象となる少なくとも4つの防衛請負業者の証拠があります, 少なくとも1人の請負業者の妥協で,」レポートは言った. 研究者たちはまた、洗練されたバックドアは少なくとも7月以来野生になっていると信じています 2019. しかし、マルウェアの追加サンプルが発見されなかったため、, それは何年もの間レーダーの下に首尾よくとどまったようです.

バックドア機能

マルウェアはカスタムバックドアです, 64ビットPEファイル形式でコンパイル, バックアップバックドアとして機能するように設計されています. この目的だけでも、非常にステルスで洗練されたバックドアになります.

SockDetourは、Windowsオペレーティングシステム用に開発されました, TCPポートをリッスンするサービスの実行. バックドアは、既存のネットワークソケットに対して行われたネットワーク接続を乗っ取り、暗号化されたコマンドアンドコントロールを確立できます。 (C2) ソケットを介してリモートの脅威アクターとチャネル. 言い換えると, マルウェアは接続を受信するためにリスニングポートを必要としません, また、リモートC2チャネルを作成するために外部ネットワークを呼び出す必要もありません。. これらの条件により、SockDetourは「ホストレベルとネットワークレベルの両方から検出するのがより困難になります」。

既存のソケットを乗っ取るには, マルウェアはプロセスのメモリに注入される必要があります. これを可能にするために, マルウェアコーダーは、ドーナツフレームワークを介してSockDetourをシェルコードに変換しました, オープンソースのシェルコードジェネレーター. それで, 彼はPowerSploitメモリインジェクターを使用してシェルコードをターゲットプロセスに挿入しました. 研究者は、攻撃者が侵害されたサーバー上のインジェクションターゲットプロセスを手動で選択した方法を示す証拠を見つけました.

注射が完了したら, バックドアはMicrosoftDetoursライブラリパッケージを利用します, ネットワークソケットを乗っ取るためのWindowsでのAPI呼び出しの監視とインストルメンテーション用に設計されています.

DetourAttachの使用() 関数, Winsockアクセプトにフックを接続します() 関数. フックを取り付けた状態, サービスポートに新しい接続が確立され、Winsockが受け入れる場合() API関数が呼び出されます, 承諾の呼び出し() 関数は、SockDetourで定義された悪意のある迂回関数に再ルーティングされます. その他の非C2トラフィックは元のサービスプロセスに戻され、対象のサービスが干渉なしに正常に動作することを保証します, レポート 言った.

この実装により、SockDetourが可能になります ファイルレスで動作する とソケットレス, プライマリが検出されて削除された場合のバックドアとして機能.

最近検出された別のバックドアマルウェアキャンペーン ターゲットとするWindows, マックOS, およびLinuxオペレーティングシステム. SysJokerと呼ばれる, マルチプラットフォームマルウェアは、VirusTotalのどのセキュリティエンジンでも検出されませんでした, それが最初に発見されたとき. SysJokerは、主要な教育機関に属するLinuxベースのWebサーバーへの積極的な攻撃中に、Intezerの研究者によって検出されました。.