https://thehackernews.com/2022/02/new-sockdetour-fileless-socketless.html
サイバーセキュリティの研究者は、侵害されたWindowsホストの二次インプラントとして使用されることを目的として、米国を拠点とする防衛産業の請負業者を標的としたSockDetourと呼ばれる以前は文書化されていなかったステルス型カスタムマルウェアのラップを外しました。
「SockDetourは、侵害されたWindowsサーバー上にステルスに留まるように設計されたバックドアであり、プライマリサーバーに障害が発生した場合のバックアップバックドアとして機能します」とパロアルトネットワークスのユニット42脅威インテリジェンスは木曜日に公開されたレポートで述べています。
「侵害されたWindowsサーバー上でファイルレスおよびソケットレスで動作するため、検出が困難です。」
2021年後半のキャンペーンでマルウェアの配布を容易にするために使用されたコマンドアンドコントロール(C2)サーバーの1つが、メモリダンプユーティリティとともにSockDetourバックドアをホストしています。
キャンペーンの分析により、2021年7月27日に、SockDetourが外部FTPサーバーから米国を拠点とする防衛請負業者のインターネットに接続されたWindowsサーバーに配信されたことが明らかになりました。
「SockDetourをホストしたFTPサーバーは、侵害されたQuality Network Appliance Provider(QNAP)スモールオフィスおよびホームオフィス(SOHO)ネットワーク接続ストレージ(NAS)サーバーでした」と研究者は指摘しました。
新しい「SockDetour」ファイルレス、ソケットレスバックドアターゲット米国の防衛産業請負業者、noreply @ blogger.com(Ravie Lakshmanan)
security summary
コメント