Pesquisadores de segurança detectaram uma nova campanha avançada de ameaças persistentes, que foi identificado pela primeira vez em relação à vulnerabilidade Zoho ManageEngine ADSelfService Plus CVE-2021-40539 e vulnerabilidade ServiceDesk Plus CVE-2021-44077.
De acordo com a Unidade de Palo Alto 42, os agentes de ameaças por trás da campanha usaram várias técnicas para acessar sistemas comprometidos e obter persistência. Mais de uma dúzia de organizações em vários setores foram comprometidas, incluindo tecnologia, energia, cuidados de saúde, finança, Educação, e defesa. Ao analisar esta campanha, Palo Alto descobriu uma ferramenta sofisticada adicional, que eles chamaram de SockDetour.
O que é SockDetour?
SockDetour é um backdoor personalizado, que também pode atuar como backdoor de backup caso o principal seja removido do sistema comprometido. A análise mostra que é difícil detectar, como ele opera em um modo sem arquivo e sem soquete nos servidores Windows afetados. A backdoor foi rastreada na campanha Tilted Temple, onde foi usado com “outras ferramentas diversas, como uma ferramenta de despejo de memória e vários webshells”.
Palo Alto acredita que o SockDetour tem como alvo os empreiteiros de defesa baseados nos EUA.
"Unidade 42 tem evidências de pelo menos quatro contratados de defesa sendo alvo desta campanha, com o compromisso de pelo menos um contratante,”Disse o relatório. Os pesquisadores também acreditam que a sofisticada backdoor está em estado selvagem pelo menos desde julho 2019. Mas como nenhuma amostra adicional do malware foi descoberta, parece que permaneceu com sucesso sob o radar por anos.
Recursos de backdoor
O malware é um backdoor personalizado, compilado em um formato de arquivo PE de 64 bits, projetado para servir como backdoor de backup. Este propósito por si só o torna um backdoor muito furtivo e sofisticado.
SockDetour foi desenvolvido para o sistema operacional Windows, executando serviços com portas TCP de escuta. O backdoor pode sequestrar conexões de rede feitas ao soquete de rede pré-existente e estabelecer um comando e controle criptografado (C2) canal com os agentes de ameaças remotas através do soquete. Em outras palavras, o malware não precisa de uma porta de escuta para receber uma conexão, nem precisa chamar uma rede externa para criar um canal C2 remoto. Essas condições tornam o SockDetour “mais difícil de detectar tanto no host quanto no nível da rede”.
Para sequestrar soquetes existentes, o malware precisa ser injetado na memória do processo. Para tornar isso possível, o codificador de malware converteu o SockDetour em um shellcode por meio da estrutura Donut, um gerador de código shell de código aberto. Então, ele usou o injetor de memória PowerSploit para injetar o shellcode nos processos de destino. Os pesquisadores encontraram provas que mostram como o agente da ameaça escolheu manualmente os processos de destino de injeção nos servidores comprometidos.
Uma vez que a injeção é concluída, o backdoor utiliza o pacote de biblioteca Microsoft Detours, projetado para o monitoramento e instrumentação de chamadas de API no Windows para sequestrar um soquete de rede.
Usando o DetourAttach() função, ele anexa um gancho ao Winsock aceitar() função. Com o gancho no lugar, quando novas conexões são feitas para a porta de serviço e o Winsock aceita() A função da API é invocada, a chamada para aceitar() A função é redirecionada para a função de desvio maliciosa definida no SockDetour. Outro tráfego não C2 é retornado ao processo de serviço original para garantir que o serviço de destino funcione normalmente sem interferência, o relatório disse.
Esta implementação torna possível para SockDetour operar sem arquivos e sem tomada, servindo como backdoor nos casos em que o primário foi detectado e removido.
Outra campanha de malware de backdoor detectada recentemente Windows direcionado, Mac OS, e sistemas operacionais Linux. Chamado SysJoker, o malware multiplataforma não foi detectado por nenhum dos mecanismos de segurança do VirusTotal, quando foi descoberto pela primeira vez. SysJoker foi detectado por pesquisadores da Intezer durante um ataque ativo em um servidor web baseado em Linux que pertence a uma instituição educacional líder.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: