SockDetour Malware

Une menace de porte dérobée sans fichier ni socket a été utilisée pour fournir aux cybercriminels un accès dérobé à des ordinateurs déjà compromis. La menace est suivie en tant que malware SockDetour, et des détails sur son fonctionnement ont été publiés dans un rapport de l'unité 42 de Palo Alto Network.

Selon leurs conclusions, SockDeteour a réussi à rester inaperçu de la communauté de la cybersécurité pendant au moins trois ans depuis 2019. Son objectif principal est d'agir comme un canal de porte dérobée secondaire et de permettre aux attaquants de maintenir leur présence sur les machines ciblées. La menace est extrêmement furtive, car elle effectue ses opérations en chargeant des processus de service légitimes sans fichier et en abusant des sockets réseau authentiques des processus associés pour se connecter et maintenir son canal de serveur de commande et de contrôle (C2, C&C) crypté.

Attribution et cibles

Les chercheurs de l'infosec de l'unité 42 pensent que SockDetour fait partie de l'arsenal menaçant d'un groupe APT (Advanced Persistent Threat) connu sous le nom d' APT27 ou TiltedTemple. Le groupe est connu pour ses opérations antérieures ciblant des entreprises et des agences travaillant dans les secteurs de la défense, de l'aérospatiale, du gouvernement, de l'énergie, de la technologie et de la fabrication. Le but apparent des opérations nuisibles est le cyberespionnage.

Les cibles infectées par SockDetour correspondent au profil déjà établi. Jusqu'à présent, le logiciel malveillant a été identifié dans le réseau d'un contrat de défense basé aux États-Unis, tandis que trois autres seraient ciblés par les pirates.