帕洛阿尔托网络42单元的研究人员表示,他们发现了一种名为SockDetour的工具,它可以作为备用后门,以防主后门被移除。他们认为,至少自2019年7月以来,这种病毒就可能在野外生存。
研究人员说,这个用64位PE文件格式编译的后门非常显眼,很难被发现,因为它可以在被入侵的Windows服务器上进行无文件和无套接字操作。
其中的一个命令和控制(C2)基础设施,是威胁行为者在TiltedTemple活动中用于恶意软件分发的,它承载了SockDetour以及其他各种工具,如内存转储工具和几个webshell。我们正在将SockDetour作为TiltedTemple的一个活动进行跟踪,但还不能确定这些活动是源于单一的还是多个威胁行为者,”研究人员解释说。
“根据42号部队的遥测数据和收集到的样本分析,我们认为SockDetour背后的威胁者一直在关注使用该工具的美国国防承包商。42号部队有证据表明,至少有四名国防承包商成为这次行动的目标,至少有一名承包商遭到了攻击。”
SockDetour允许攻击者通过无文件加载合法的服务进程,并使用合法进程的网络套接字来建立自己的加密的C2通道,从而秘密地停留在被入侵的Windows服务器上。
研究人员没有在公共库中发现任何其他SockDetour样本,插件DLL仍然未知。他们补充说,这是通过SockDetour的加密通道和通过劫持的套接字进行通信。
Unit 42指出,托管SockDetour的NAS服务器类型通常被小型企业使用。
该公司将后门与一个更大的APT活动联系在一起,他们将其命名为TiltedTemple。他们在调查其使用Zoho ManageEngine ADSelfService Plus漏洞CVE-2021-40539和ServiceDesk Plus漏洞CVE-2021-44077时首先发现了TiltedTemple。
研究人员表示:“我们在TiltedTemple网站上的最初出版物主要关注的是通过ManageEngine ADSelfService Plus服务器和ManageEngine ServiceDesk Plus遭受的攻击。”
“TiltedTemple运动损害了技术、能源、医疗、教育、金融和国防工业的组织,并对这些行业和其他行业进行了侦察活动,包括与美国5个州相关的基础设施。我们发现SockDetour托管在与TiltedTemple相关的基础设施上,尽管我们还没有确定这是单个或多个威胁参与者的工作。”
42分队于2021年8月开始对TitledTemple行动进行调查,发现SockDetour“于2021年7月27日从外部FTP服务器发送到一家美国国防承包商面向互联网的Windows服务器上”的证据。
根据第42单元的说法,FTP服务器还托管了其他被威胁者使用的工具,比如内存转储工具和ASP webshell。该公司发现,在分析了这次攻击后,至少还有三家美国国防承包商也遭到了同一名黑客的攻击。
托管SockDetour的FTP服务器是一个被破坏的质量网络设备提供商(QNAP)小型办公室和家庭办公室(SOHO)网络附加存储(NAS)服务器。NAS服务器已知有多个漏洞,包括远程代码执行漏洞CVE-2021-28799。”
在2021年4月的大规模感染活动中,多个勒索软件家族利用了这一脆弱性。我们认为SockDetour背后的威胁参与者可能也利用这些漏洞来危害NAS服务器。事实上,NAS服务器已经从之前的勒索软件活动中感染了QLocker。”
第42单元注意到,威胁参与者使用Donut框架开源shellcode生成器将SockDetour转换为shellcode。当注入到手动选择的目标进程时,后门程序“利用Microsoft Detours库包,它是为监视和检测Windows上的API调用而设计的,以劫持网络套接字。”
