新的“SockDetour”无文件、无袜子后门针对美国国防承包商

网络安全研究人员揭开了一个以前没有记录的秘密定制恶意软件的神秘面纱，该软件名为套管接头这是针对美国国防承包商的，目的是作为受损Windows主机上的第二个植入物。

Palo Alto Networks的第42单元威胁情报在周四发布的一份报告中称：“SockDetour是一个后门，设计用于在受损的Windows服务器上秘密运行，以便在主服务器出现故障时充当备用后门。”。“很难检测到，因为它在受损的Windows服务器上无文件、无套接字地运行。”

更令人担忧的是，根据样本上的编译时间戳，SockDetour被认为至少从2019年7月起就被用于攻击，这意味着后门成功地在两年半的时间里逃脱了检测。

这些攻击被认为是由一个威胁集群引起的，该集群被追踪为TiltedTemple（微软的缩写为DEV-0322），这是一个在中国境外运营的黑客组织的指定绰号，有助于利用Zoho ManageEngine ADSelfService Plus和ServiceDesk Plus部署中的零日漏洞，作为去年恶意软件攻击的发动平台。

与TeldTunt的关系来自于攻击基础设施的重叠，其中一个命令和控制（C2）服务器用于促进恶意软件的分发，用于后期2021个战役，同时还承载SokDouLe后门，同时还有内存倾销实用程序和许多用于远程访问的网络外壳。

42部队表示，他们发现了至少四名国防承包商成为新一波袭击目标的证据，导致其中一人妥协。

入侵也早于2021年8月通过受损的ZooMauneEngEngices服务器发生的攻击。该活动的分析表明，SockDetour是从外部FTP服务器交付到美国的国防承包商的互联网面向Windows服务器2021年7月27日。

研究人员指出：“托管SockDetour的FTP服务器是一个质量受损的网络设备提供商（QNAP）小型办公室和家庭办公室（SOHO）网络连接存储（NAS）服务器。”。“已知NAS服务器存在多个漏洞，包括远程代码执行漏洞CVE-2021-28799。”

此外，据说同一台服务器已经感染了QLocker勒索软件，这增加了TiltedTemple参与者利用上述漏洞获得未经授权的初始访问的可能性。

SockDetour则被塑造成一个备用后门，它劫持合法进程的网络套接字，建立自己的加密C2通道，然后加载从服务器检索到的未知插件DLL文件。

“因此，SockDetour既不需要打开监听端口来接收连接，也不需要呼叫外部网络来建立远程指挥控制通道，”研究人员说。“这使得从主机和网络级别都更难检测到后门。”