Image: Milo Bauman
ABD savunma müteahhitlerine ait sistemlerde bulunan yeni bir özel malware dubbed SockdeTour, tehlikeye atılan ağlara erişimi korumak için bir yedek arka kapı olarak kullanılmıştır.
Kötü niyetli taşıma yükü, operatörlerinin en az Temmuz 2019'dan bu yana vahşi doğada kullanıldığı için uzun süredir radarın altındaki arka kapı tuttuğuna inanan birim 42 güvenlik araştırmacıları tarafından tespit edildi.
SockdeTour'un gizliliği, şebeke bağlantılarını kaçırarak virüslü Windows sunucularında, şebeke bağlantılarını ve ağ seviyelerinde tespit edilmesini çok daha zorlaştıran "iflassız olarak ve soketsiz olarak çalıştırılması" gerçeğiyle açıklanabilir.
Bağlantı kaçırma, Windows API çağrı izleme ve enstrümantasyon için kullanılan meşru Microsoft Detours kütüphane paketi kullanılarak yapılır.
Ünite 42, "Bu tür bir uygulama, Sockdetour [..], birincil arka kapıdan sapma ve kaldırılması durumunda bir yedek arka kapı olarak hizmet vermektedir.
Saldırılardan birinde, tehdit aktörleri ayrıca, genellikle küçük işletmeler tarafından kullanılan ve daha önce QLocker Ransomware ile enfekte olan bir QNAP ağa bağlı depolama (NAS) cihazını, aynı güvenlik kusurunu kullandılar (CVE- 2021-28799 Uzaktan Kod Yürütme Hatası) Sunucuya erişmek için.
Araştırmacılar ilk önce kötü amaçlı yazılımları 27 Temmuz 2021'deki Windows Sunucusunun Windows sunucusuna yerleştirilmesini gördü ve bu da aynı grupla aynı grupla hedeflenen üç savunma orgının keşfedilmesine yol açan.
"Ünite 42'nin telemetri verilerine ve toplanan örneklerin analizine dayanarak, SockdeTour'un arkasındaki tehdit aktörünün, Araçları kullanarak ABD'nin temelli savunma müteahhitlerini hedeflemeye odaklandığına inanıyoruz," araştırmacılar ortaya çıktı.
"Birim 42, bu kampanya tarafından hedeflenen en az dört savunma müteahhitinin kanıtlarına, en az bir müteahhitlikten bir uzlaşmasıyla."
SockdeOur Backdoor, birim 42 tarafından TiltedTemple olarak izlenen bir APT aktivite kümesi tarafından ataklarda kullanılır ve daha önce ManageEngine AdselfService Plus (CVE-2021-40539) ve ServiceDesk Plus (CVE-2021-44077) dahil olmak üzere Zoho ürünlerinde çeşitli güvenlik açıklarını sömüren saldırılarla bağlantılıdır. ).
Şirket, SockdeTour kötü amaçlı yazılımını belirli bir hackleme grubuna bağlamışken, birim 42 Araştırmacı, Kasım ayında TiltedTemple kampanyasının, APT27 olarak izlenen Çince sponsorlu bir tehdit grubunun çalışması olduğunu şüphelendi.
Kısmi öznitelik, Apt27'nin önceki faaliyetlerinin (örneğin, Savunma, Teknoloji, Enerji, Havacılık, Hükümet ve Üretim) Cyber Casusluk için aynı sayıda faaliyet alanını (örneğin, Savunma, Teknoloji, Enerji, Havacılık, Hükümet ve İmalat) eşleşen taktikler ve kötü amaçlı araçlara dayanmaktadır.
Zoho güvenlik açıklarına odaklanan TiltedTemple saldırıları, 2021 yılı boyunca üç farklı kampanyada, dünya çapındaki kritik altyapı org örgütlerine ait olan ağların ihlal edilmesine yol açtı:
ABD ve İngiltere, çamurlu su hackerları tarafından kullanılan yeni kötü amaçlı yazılımları ortaya koyuyor
ABD, İngiltere Link Yeni Cyclops Rus Devlet Hacker'larına kötü amaçlı yazılımları yanıp sönüyor
Memento Ransomware ile bağlantılı siberler yeni PowerShell Malware
Savunma Yüklenicisi Hensoldt Lorenz Ransomware saldırısını onaylar
Yeni Sysjoker Backdoor Hedefleri Windows, MacOS ve Linux
Kaynak: Bleeping Computer