Американскую оборонку атакует бесфайловый бэкдор SockDetour

Татьяна Никитина 25 Февраля 2022 - 20:29

Таргетированные атаки

...

Американскую оборонку атакует бесфайловый бэкдор SockDetour

При разборе летних атак в рамках APT-кампании с кодовым именем TiltedTemple эксперты Palo Alto Network выявили новый бэкдор, используемый в качестве резерва. Зловреда SockDetour трудно обнаружить: он работает только в памяти, а для связи с C2 использует сокеты легитимных процессов.

По данным Palo Alto, кастомный вредонос используется в целевых атаках как минимум с июля 2019 года и ни разу не обновлялся. Подвергнутый анализу образец (64-битный PE) был обнаружен на Windows-сервере местного подрядчика Минобороны США. Как потом выяснилось, те же злоумышленники пытались атаковать трех других военных подрядчиков в этой стране.

В целевую систему SockDetour попадает через эксплойт (CVE-2021-40539 или CVE-2021-44077 для продуктов Zoho ManageEngine). Загрузка бэкдора осуществляется с внешнего FTP-сервера — взломанного хранилища QNAP NAS, уязвимости которого любят использовать операторы шифровальщиков.

Чтобы его не заметили, зловред внедряется в память запущенного легитимного процесса (для конвертации в шелл-код используется рамочный opensource-генератор Donut). Процесс-донор, видимо, задается оператором SockDetour: в обнаруженных сэмплах ID были жестко прописаны в коде.

Канал шифрованной связи с C2 вредонос организует, используя уже открытые сокетные соединения — ставит хук на функцию Winsock accept() с помощью библиотеки Microsoft Detours (позволяет перехватывать вызовы API-функций в Windows).

Единственной задачей SockDetour, насколько удалось определить, является загрузка DLL подключаемого модуля. Этот пейлоад весом не более 5 Мбайт тоже не оставляет на машине никаких следов в виде файлов и незаметно общается со своим сервером, угоняя сокет донорского процесса. Образцов плагина аналитики не нашли, и его назначение пока неизвестно.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 22 Апреля 2025 - 10:41

Домашние пользователи Защита от мошенничества Безопасность платежей Безопасность банковских карт

Клиенты ВТБ теперь могут сами отключить подозрительные устройства онлайн

ВТБ упростил процедуру блокировки доступа к онлайн-банку и мобильному приложению — теперь клиенты могут самостоятельно сбросить активные сессии в личном кабинете, без необходимости обращаться в отделение или звонить в контакт-центр.

Каждый месяц в банк поступает в среднем около 130 тысяч обращений от клиентов, столкнувшихся с подозрительной активностью или потерей контроля над учётными данными.

Обычно это происходит, когда злоумышленники получают доступ к логину и паролю пользователя. Теперь вернуть контроль над системой стало проще: новая функция сброса сессий доступна в разделе «Вход в приложение» личного кабинета.

Клиенты могут:

просматривать список активных устройств и сессий;
отключать неизвестные устройства;
при необходимости отвязать все устройства сразу — после этого вход станет возможен только по временному паролю, известному самому клиенту.

По словам старшего вице-президента, руководителя департамента цифрового бизнеса ВТБ Никиты Чугунова, сброс сессий — один из самых востребованных сервисов по защите клиентских средств.

«Раньше такую операцию можно было провести только через контакт-центр — это занимало пару минут. Теперь всё можно сделать самостоятельно, буквально в два клика. Новый функционал позволяет быстро вернуть контроль над онлайн-банком в случае компрометации данных, а также отслеживать историю входов, чтобы убедиться, что никто посторонний не получил доступ», — отметил он.

Новая функция делает безопасность клиентов ещё более доступной и помогает оперативно реагировать на любые подозрительные действия.