SockDtour backdoor გამოიყენება თავდასხმების კონტრაქტორებზე, ნათქვამია განყოფილებაში 42

  • Sep 05, 2023

Palo Alto-ს ქსელის 42-ე განყოფილების მკვლევარებმა განაცხადეს, რომ მათ აღმოაჩინეს ინსტრუმენტი, რომელიც ემსახურება როგორც სარეზერვო უკანა კარს პირველადი წაშლის შემთხვევაში.

მკვლევარები პალო ალტოს ქსელის 42-ე განყოფილებაში თქვა, რომ მათ აღმოაჩინეს ინსტრუმენტი -- სახელად SockDetour -- რომელიც ემსახურება როგორც სარეზერვო უკანა კარი იმ შემთხვევაში, თუ პირველადი წაიშლება. მათ მიაჩნიათ, რომ შესაძლებელია ის "ველურ ბუნებაში 2019 წლის ივლისიდან მაინც იყოს".

მკვლევარებმა განაცხადეს, რომ backdoor, რომელიც შედგენილია 64-ბიტიანი PE ფაილის ფორმატში, გამოირჩეოდა და ძნელია მისი ამოცნობა, რადგან ის ფუნქციონირებს უსასრულოდ და უშეცდომოდ Windows-ის დაზიანებულ სერვერებზე.

ZDNET გირჩევთ

  • საუკეთესო VPN სერვისები
  • უსაფრთხოების საუკეთესო გასაღებები
  • საუკეთესო ანტივირუსული პროგრამა
  • ყველაზე სწრაფი VPN

"ერთ-ერთი ბრძანებისა და კონტროლის (C2) ინფრასტრუქტურა, რომელიც საფრთხის აქტორმა გამოიყენა მავნე პროგრამების გავრცელებისთვის TiltedTemple კამპანიას უმასპინძლა SockDtour სხვა სხვადასხვა ინსტრუმენტებთან ერთად, როგორიცაა მეხსიერების გადაყრის ინსტრუმენტი და რამდენიმე ვებ ჭურვები. ჩვენ თვალყურს ვადევნებთ SockDetour-ს, როგორც ერთ კამპანიას TiltedTemple-ში, მაგრამ ჯერ ვერ ვიტყვით დაზუსტებით, ეს აქტივობები წარმოიქმნება ერთი ან მრავალი საფრთხის აქტორისგან“, - მკვლევარები

განმარტა.

„42-ე განყოფილების ტელემეტრიის მონაცემებზე და შეგროვებული ნიმუშების ანალიზზე დაყრდნობით, ჩვენ გვჯერა, რომ SockDtour-ის უკან არსებული საფრთხის შემქმნელი ორიენტირებულია აშშ-ში დაფუძნებული თავდაცვის კონტრაქტორების მიზანმიმართვაზე ინსტრუმენტების გამოყენებით. 42 განყოფილებას აქვს მტკიცებულება იმისა, რომ მინიმუმ ოთხი თავდაცვის კონტრაქტორი იყო ამ კამპანიის სამიზნე, მინიმუმ ერთი კონტრაქტორის კომპრომისით. ”

SockDetour საშუალებას აძლევს თავდამსხმელებს დარჩეს მალულად გატეხილი Windows სერვერებზე ფაილების გარეშე ჩატვირთვით ლეგიტიმური სერვისის პროცესები და ლეგიტიმური პროცესების ქსელის სოკეტების გამოყენება საკუთარი დაშიფრული C2-ის დასამყარებლად არხი.

მკვლევარებმა ვერ იპოვეს SockDetour-ის დამატებითი ნიმუშები საჯარო საცავებში და მოდული DLL უცნობია. მათ დაამატეს, რომ ის მიწოდებულია SockDetour-ის დაშიფრული არხით და კომუნიკაცია ხდება გატაცებული სოკეტების საშუალებით.

42-ე ერთეულმა აღნიშნა, რომ NAS სერვერის ტიპი, რომელიც ნაპოვნია SockDetour-ზე, ჩვეულებრივ გამოიყენება მცირე ბიზნესის მიერ.

კომპანიამ უკანა კარი მიაბა უფრო დიდ APT კამპანიას, რომელსაც მათ TiltedTemple უწოდეს. მათ პირველად დაადგინეს TiltedTemple Zoho ManageEngine ADSelfService Plus დაუცველობის CVE-2021-40539 და ServiceDesk Plus დაუცველობის CVE-2021-44077 გამოყენებისას.

„ჩვენი საწყისი პუბლიკაციები TiltedTemple-ზე ფოკუსირებული იყო თავდასხმებზე, რომლებიც მოხდა ManageEngine ADSelfService Plus-ის კომპრომეტირებული სერვერების და ManageEngine ServiceDesk Plus-ის მეშვეობით“, - აცხადებენ მკვლევარებმა.

„TiltedTemple-ის კამპანიამ დაარღვია ორგანიზაციები ტექნოლოგიების, ენერგეტიკის, ჯანდაცვის, განათლების, ფინანსებისა და თავდაცვის სფეროში. მრეწველობისა და ჩაატარა სადაზვერვო საქმიანობა ამ და სხვა ინდუსტრიების წინააღმდეგ, მათ შორის ინფრასტრუქტურა, რომელიც დაკავშირებულია აშშ-ს ხუთთან შტატები. ჩვენ აღმოვაჩინეთ SockDetour, რომელიც განთავსებულია TiltedTemple-თან დაკავშირებულ ინფრასტრუქტურაზე, თუმცა ჯერ არ დაგვიზუსტებია, არის ეს ერთი საფრთხის შემქმნელის ნამუშევარი თუ რამდენიმე.

განყოფილებამ 42-მა დაიწყო კვლევა TitledTemple კამპანიის შესახებ 2021 წლის აგვისტოში და აღმოაჩინა მტკიცებულება იმისა, რომ SockDetour "იყო მიწოდებულია გარე FTP სერვერიდან აშშ-ში დაფუძნებული თავდაცვის კონტრაქტორის ინტერნეტთან დაკავშირებულ Windows სერვერზე 27 ივლისს, 2021." 

FTP სერვერზე ასევე მასპინძლობდა საფრთხის აქტორის მიერ გამოყენებული სხვა ინსტრუმენტები, როგორიცაა მეხსიერების გადაყრის ინსტრუმენტი და ASP ვებ ჭურვები, განყოფილების 42-ის მიხედვით. კომპანიამ აღმოაჩინა, რომ თავდასხმის გაანალიზების შემდეგ, სულ მცირე სამი სხვა აშშ-ში დაფუძნებული თავდაცვის კონტრაქტორი იმავე მსახიობის სამიზნე იყო.

"FTP სერვერი, რომელიც მასპინძლობდა SockDetour იყო კომპრომეტირებული Quality Network Appliance Provider (QNAP) მცირე ოფისისა და სახლის ოფისის (SOHO) ქსელზე მიმაგრებული საცავის (NAS) სერვერი. ცნობილია, რომ NAS სერვერს აქვს მრავალი დაუცველობა, მათ შორის დისტანციური კოდის შესრულების დაუცველობა, CVE-2021-28799“, - აცხადებენ მკვლევარებმა.

”ეს დაუცველობა გამოიყენეს სხვადასხვა გამოსასყიდის ოჯახებმა ინფექციის მასიური კამპანიების დროს 2021 წლის აპრილში. ჩვენ გვჯერა, რომ SockDetour-ის უკან საფრთხის მოქმედმა მოქმედმა ასევე გამოიყენა ეს დაუცველობა NAS სერვერის კომპრომისისთვის. სინამდვილეში, NAS სერვერი უკვე ინფიცირებული იყო QLocker-ით წინა გამოსასყიდის კამპანიებიდან.

42-ე განყოფილებამ აღნიშნა, რომ საფრთხის მსახიობმა მოახერხა SockDetour-ის გადაქცევა shell-კოდად Donut Framework-ის ღია კოდის shellcode გენერატორის გამოყენებით. ხელით შერჩეულ სამიზნე პროცესებში შეყვანისას, უკანა კარი "გამოიყენებს Microsoft Detours ბიბლიოთეკას პაკეტი, რომელიც შექმნილია API-ს მონიტორინგისა და ინსტრუმენტაციისთვის, მოუწოდებს Windows-ს ქსელის გატაცებისკენ სოკეტი."

უსაფრთხოება

უაღრესად დაცული დისტანციური მუშაკების 8 ჩვევა
როგორ მოვძებნოთ და ამოიღოთ spyware თქვენი ტელეფონიდან
საუკეთესო VPN სერვისები: როგორ ადარებენ საუკეთესო ხუთეულს?
როგორ გავარკვიოთ, ხართ თუ არა ჩართული მონაცემების დარღვევაში -- და რა უნდა გააკეთოთ შემდეგ
  • უაღრესად დაცული დისტანციური მუშაკების 8 ჩვევა
  • როგორ მოვძებნოთ და ამოიღოთ spyware თქვენი ტელეფონიდან
  • საუკეთესო VPN სერვისები: როგორ ადარებენ საუკეთესო ხუთეულს?
  • როგორ გავარკვიოთ, ხართ თუ არა ჩართული მონაცემების დარღვევაში -- და რა უნდა გააკეთოთ შემდეგ