SockDetour Malware

ファイルレスおよびソケットレスのバックドアの脅威は、サイバー犯罪者にすでに侵害されたコンピュータへのバックドアアクセスを提供するために使用されています。脅威はSockDetourマルウェアとして追跡されており、その動作の詳細はPalo AltoNetworkのUnit42によるレポートで公開されました。

彼らの調査結果によると、SockDeteourは、2019年から少なくとも3年間、サイバーセキュリティコミュニティに気付かれることなく管理されています。その主な目的は、セカンダリバックドアチャネルとして機能し、攻撃者が標的のマシン上でプレゼンスを維持できるようにすることです。正当なサービスプロセスをファイルレスでロードし、関連するプロセスの本物のネットワークソケットを悪用して、暗号化されたコマンドアンドコントロール（C2、C＆C）サーバーチャネルに接続して維持することで操作を実行するため、脅威は非常にステルスです。

アトリビューションとターゲット

Unit 42のinfosec研究者は、SockDetourがAPT27またはTiltedTempleとして知られるAPT（Advanced Persistent Threat）グループの脅威となる武器の一部であると信じています。このグループは、防衛、航空宇宙、政府、エネルギー、テクノロジー、製造の各セクターで活動する企業や機関を対象とした以前の事業で知られています。有害な操作の明らかな目標はサイバースパイです。

SockDetourに感染したターゲットは、すでに確立されているプロファイルに適合します。これまでのところ、マルウェアは1つの米国ベースの防衛契約のネットワーク内で識別されていますが、他の3つはハッカーの標的になっていると考えられています。