यूनिट 42 का कहना है कि रक्षा ठेकेदारों पर हमलों में सॉकडेटौर पिछले दरवाजे का इस्तेमाल किया गया

पालो अल्टो नेटवर्क की यूनिट 42 के शोधकर्ता उन्होंने कहा कि उन्होंने एक उपकरण खोजा है - जिसका नाम SockDetour है - जो प्राथमिक दरवाजे को हटा दिए जाने की स्थिति में बैकअप पिछले दरवाजे के रूप में कार्य करता है। उनका मानना ​​है कि यह संभव है कि वह "कम से कम जुलाई 2019 से जंगल में है।"

शोधकर्ताओं ने कहा कि बैकडोर, जिसे 64-बिट पीई फ़ाइल प्रारूप में संकलित किया गया है, विशिष्ट है और इसका पता लगाना कठिन है क्योंकि यह समझौता किए गए विंडोज सर्वर पर फ़ाइल रहित और सॉकेट रहित रूप से काम करता है।

"कमांड और कंट्रोल (C2) इन्फ्रास्ट्रक्चर में से एक जिसका उपयोग खतरे वाले अभिनेता ने मैलवेयर वितरण के लिए किया था टिल्टेडटेम्पल अभियान ने सॉकडेटौर को अन्य विविध उपकरणों जैसे मेमोरी डंपिंग टूल और कई के साथ होस्ट किया webshells. हम टिल्टेडटेम्पल के भीतर सॉकडेटॉर को एक अभियान के रूप में ट्रैक कर रहे हैं, लेकिन अभी तक यह निश्चित रूप से नहीं कह सकते हैं कि गतिविधियां एक या एकाधिक खतरे वाले अभिनेताओं से उत्पन्न होती हैं, "शोधकर्ताओं ने कहा।

व्याख्या की.

"यूनिट 42 के टेलीमेट्री डेटा और एकत्र किए गए नमूनों के विश्लेषण के आधार पर, हमारा मानना ​​​​है कि SockDetour के पीछे के खतरनाक अभिनेता का ध्यान उपकरणों का उपयोग करके अमेरिका स्थित रक्षा ठेकेदारों को लक्षित करने पर केंद्रित है। यूनिट 42 के पास कम से कम एक ठेकेदार के समझौते के साथ, इस अभियान द्वारा कम से कम चार रक्षा ठेकेदारों को निशाना बनाए जाने का सबूत है।"

SockDetour हमलावरों को फ़ाइल रहित तरीके से लोड करके समझौता किए गए विंडोज सर्वर पर चुपचाप रहने की अनुमति देता है वैध सेवा प्रक्रियाओं और अपने स्वयं के एन्क्रिप्टेड C2 को स्थापित करने के लिए वैध प्रक्रियाओं के नेटवर्क सॉकेट का उपयोग करना चैनल।

शोधकर्ताओं को सार्वजनिक रिपॉजिटरी पर कोई अतिरिक्त SockDetour नमूने नहीं मिले, और प्लगइन DLL अज्ञात बना हुआ है। उन्होंने कहा कि इसे SockDetour के एन्क्रिप्टेड चैनल के माध्यम से वितरित किया जा रहा है और हाईजैक किए गए सॉकेट के माध्यम से संचार किया जा रहा है।

यूनिट 42 में उल्लेख किया गया है कि SockDetour को होस्ट करने वाले NAS सर्वर का प्रकार आमतौर पर छोटे व्यवसायों द्वारा उपयोग किया जाता है।

कंपनी ने पिछले दरवाजे को एक बड़े एपीटी अभियान से जोड़ा, जिसे उन्होंने टिल्टेडटेम्पल नाम दिया। उन्होंने ज़ोहो मैनेजइंजन ADSelfService Plus भेद्यता CVE-2021-40539 और ServiceDesk Plus भेद्यता CVE-2021-44077 के उपयोग की जांच करते समय सबसे पहले टिल्टेडटेम्पल की पहचान की।

शोधकर्ताओं ने कहा, "टिल्टेडटेम्पल पर हमारे प्रारंभिक प्रकाशन उन हमलों पर केंद्रित थे जो समझौता किए गए मैनेजइंजिन एडीसेल्फसर्विस प्लस सर्वर और मैनेजइंजिन सर्विसडेस्क प्लस के माध्यम से हुए थे।"

"टिल्टेडटेम्पल अभियान ने प्रौद्योगिकी, ऊर्जा, स्वास्थ्य सेवा, शिक्षा, वित्त और रक्षा क्षेत्र के संगठनों से समझौता किया है उद्योगों और इन उद्योगों और अन्य के खिलाफ टोही गतिविधियाँ संचालित कीं, जिनमें पाँच अमेरिका से जुड़े बुनियादी ढाँचे भी शामिल हैं राज्य. हमने पाया कि सॉकडेटौर को टिल्टेडटेम्पल से जुड़े बुनियादी ढांचे पर होस्ट किया गया है, हालांकि हमने अभी तक यह निर्धारित नहीं किया है कि यह एक ही खतरे वाले अभिनेता का काम है या कई का।'

यूनिट 42 ने अगस्त 2021 में टाइटलटेम्पल अभियान की अपनी जांच शुरू की और सबूत पाया कि सॉकडेटौर "था 27 जुलाई को एक बाहरी एफ़टीपी सर्वर से यू.एस.-आधारित रक्षा ठेकेदार के इंटरनेट-फ़ेसिंग विंडोज़ सर्वर पर वितरित किया गया, 2021." 

यूनिट 42 के अनुसार, एफ़टीपी सर्वर ने खतरे वाले अभिनेता द्वारा उपयोग किए जाने वाले अन्य टूल, जैसे मेमोरी डंपिंग टूल और एएसपी वेबशेल्स को भी होस्ट किया है। कंपनी ने पाया कि हमले का विश्लेषण करने के बाद, कम से कम तीन अन्य अमेरिकी-आधारित रक्षा ठेकेदारों को एक ही अभिनेता द्वारा लक्षित किया गया था।

"SockDetour को होस्ट करने वाला FTP सर्वर एक समझौता गुणवत्ता नेटवर्क उपकरण प्रदाता (QNAP) छोटा कार्यालय और गृह कार्यालय (SOHO) नेटवर्क-अटैच्ड स्टोरेज (NAS) सर्वर था। एनएएस सर्वर को कई कमजोरियों के लिए जाना जाता है, जिसमें रिमोट कोड निष्पादन भेद्यता, सीवीई-2021-28799 भी शामिल है,'' शोधकर्ताओं ने कहा।

“अप्रैल 2021 में बड़े पैमाने पर संक्रमण अभियानों में विभिन्न रैंसमवेयर परिवारों द्वारा इस भेद्यता का लाभ उठाया गया था। हमारा मानना ​​है कि SockDetour के पीछे के खतरनाक अभिनेता ने भी NAS सर्वर से समझौता करने के लिए इन कमजोरियों का लाभ उठाया होगा। वास्तव में, NAS सर्वर पिछले रैंसमवेयर अभियानों से QLocker से पहले ही संक्रमित हो चुका था।"

यूनिट 42 ने नोट किया कि खतरा अभिनेता डोनट फ्रेमवर्क ओपन सोर्स शेलकोड जनरेटर का उपयोग करके सॉकडेटौर को शेलकोड में परिवर्तित करने में कामयाब रहा। जब मैन्युअल रूप से चुनी गई लक्ष्य प्रक्रियाओं में इंजेक्ट किया जाता है, तो पिछला दरवाजा "Microsoft Detours लाइब्रेरी का लाभ उठाता है पैकेज, जो किसी नेटवर्क को हाईजैक करने के लिए विंडोज़ पर एपीआई कॉल की निगरानी और इंस्ट्रूमेंटेशन के लिए डिज़ाइन किया गया है सॉकेट।"