Beveiligingsonderzoekers hebben een nieuwe geavanceerde campagne voor persistente dreigingen gedetecteerd, die voor het eerst werd geïdentificeerd in verband met de Zoho ManageEngine ADSelfService Plus-kwetsbaarheid CVE-2021-40539 en ServiceDesk Plus-kwetsbaarheid CVE-2021-44077.
Volgens Palo Alto Unit 42, de dreigingsactoren achter de campagne gebruikten een aantal technieken om toegang te krijgen tot gecompromitteerde systemen en om persistentie te bereiken. Meer dan een dozijn organisaties in verschillende sectoren zijn gecompromitteerd, inclusief technologie, energie, gezondheidszorg, financiën, onderwijs, en verdediging. Tijdens het analyseren van deze campagne, Palo Alto heeft een extra verfijnde tool ontdekt, die ze SockDetour noemden.
Wat is SockDetour?
SockDetour is een aangepaste achterdeur, die ook kan dienen als backdoor voor het geval de primaire van het aangetaste systeem wordt verwijderd. Uit de analyse blijkt dat het moeilijk te detecteren is, omdat het werkt in een bestandsloze en socketloze modus op de getroffen Windows-servers. De achterdeur is gevolgd in de Tilted Temple-campagne, waar het is gebruikt met "andere diverse tools zoals een tool voor het dumpen van geheugen en verschillende webshells."
Palo Alto is van mening dat SockDetour zich heeft gericht op in de VS gevestigde defensie-aannemers.
"Eenheid 42 heeft bewijs dat ten minste vier defensie-aannemers het doelwit zijn van deze campagne, met een compromis van ten minste één aannemer,”Aldus het rapport. De onderzoekers geloven ook dat de geavanceerde achterdeur in ieder geval sinds juli in het wild is 2019. Maar aangezien er geen extra voorbeelden van de malware zijn ontdekt, het lijkt erop dat het jarenlang met succes onder de radar is gebleven.
Backdoor-mogelijkheden
De malware is een aangepaste achterdeur, gecompileerd in een 64-bits PE-bestandsformaat, ontworpen om als backdoor te dienen. Dit doel alleen al maakt het een zeer onopvallende en verfijnde achterdeur.
SockDetour is ontwikkeld voor het Windows-besturingssysteem, services draaien met luisterende TCP-poorten. De achterdeur kan netwerkverbindingen kapen die zijn gemaakt met de reeds bestaande netwerksocket en een versleutelde command-and-control tot stand brengen (C2) kanaal met de externe bedreigingsactoren via de socket. Met andere woorden, de malware heeft geen luisterpoort nodig om verbinding te krijgen, het hoeft ook niet naar een extern netwerk te worden gebeld om een extern C2-kanaal te maken. Deze omstandigheden maken SockDetour "moeilijker te detecteren vanaf zowel host- als netwerkniveau."
Om bestaande sockets te kapen, de malware moet in het geheugen van het proces worden geïnjecteerd. Om dit mogelijk te maken, de malwarecoder heeft SockDetour omgezet in een shellcode via het Donut-framework, een open source shellcode-generator. Dan, hij gebruikte de PowerSploit-geheugeninjector om de shellcode in doelprocessen te injecteren. De onderzoekers vonden bewijs dat laat zien hoe de dreigingsactor handmatig injectiedoelprocessen koos op de gecompromitteerde servers.
Zodra de injectie is voltooid, de achterdeur maakt gebruik van het Microsoft Detours-bibliotheekpakket, ontworpen voor het bewaken en instrumenteren van API-aanroepen op Windows om een netwerksocket te kapen.
Met behulp van de DetourAttach() functie, het bevestigt een haak aan de Winsock-accept() functie. Met de haak op zijn plaats, wanneer nieuwe verbindingen worden gemaakt met de servicepoort en de Winsock accepteert() API-functie wordt aangeroepen, de oproep om te accepteren() functie wordt omgeleid naar de kwaadaardige omleidingsfunctie die is gedefinieerd in SockDetour. Ander niet-C2-verkeer wordt teruggestuurd naar het oorspronkelijke serviceproces om ervoor te zorgen dat de beoogde service normaal werkt zonder interferentie, het verslag zei.
Deze implementatie maakt het mogelijk voor SockDetour bestandsloos te werk gaan en zonder stopcontact, dienen als achterdeur in gevallen waarin de primaire is gedetecteerd en verwijderd.
Een andere onlangs ontdekte backdoor-malwarecampagne was gericht op Windows, MacOS, en Linux-besturingssystemen, genaamd SysJoker, de multi-platform malware wordt momenteel niet gedetecteerd door een van de beveiligingsengines in VirusTotal. SysJoker werd ontdekt door Intezer-onderzoekers tijdens een actieve aanval op een op Linux gebaseerde webserver die toebehoort aan een toonaangevende onderwijsinstelling. . Genaamd SysJoker, de multi-platform malware is niet gedetecteerd door een van de beveiligingsengines in VirusTotal, toen het voor het eerst werd ontdekt. SysJoker werd gedetecteerd door Intezer-onderzoekers tijdens een actieve aanval op een op Linux gebaseerde webserver die toebehoort aan een toonaangevende onderwijsinstelling.