Puerta trasera SockDetour utilizada en ataques a contratistas de defensa, dice Unidad 42

Los investigadores de la Unidad 42 de Palo Alto Network dijeron que descubrieron una herramienta, llamada SockDetour, que sirve como una puerta trasera de respaldo en caso de que se elimine la principal. Creen que es posible que «ha estado en estado salvaje desde al menos julio de 2019».

Los investigadores dijeron que la puerta trasera, que se compila en formato de archivo PE de 64 bits, se destacó y es difícil de detectar porque funciona sin archivos y sin conexión en servidores Windows comprometidos.

«Una de las infraestructuras de comando y control (C2) que el actor de amenazas usó para la distribución de malware para la campaña TiltedTemple alojó a SockDetour junto con otras herramientas diversas, como una herramienta de volcado de memoria y varios webshells. Estamos rastreando a SockDetour como una campaña dentro de TiltedTemple, pero aún no podemos decir definitivamente si las actividades provienen de uno o varios actores de amenazas», explicaron los investigadores.

«Con base en los datos de telemetría de la Unidad 42 y el análisis de las muestras recolectadas, creemos que el actor de amenazas detrás de SockDetour se ha centrado en atacar a los contratistas de defensa con sede en EE. UU. utilizando las herramientas. La Unidad 42 tiene evidencia de que al menos cuatro contratistas de defensa están siendo atacados por este campaña, con el compromiso de al menos un contratista».

SockDetour permite a los atacantes permanecer sigilosamente en servidores Windows comprometidos mediante la carga sin archivos en procesos de servicio legítimos y el uso de sockets de red de procesos legítimos para establecer su propio canal C2 cifrado.

Los investigadores no encontraron muestras adicionales de SockDetour en repositorios públicos, y la DLL del complemento sigue siendo desconocida. Agregaron que se entrega a través del canal encriptado de SockDetour y se comunica a través de sockets secuestrados.

La Unidad 42 señaló que el tipo de servidor NAS que aloja SockDetour suele ser utilizado por pequeñas empresas.

La compañía vinculó la puerta trasera a una campaña APT más grande que llamaron TiltedTemple. Primero identificaron a TiltedTemple mientras investigaban su uso de la vulnerabilidad CVE-2021-40539 de Zoho ManageEngine ADSelfService Plus y la vulnerabilidad CVE-2021-44077 de ServiceDesk Plus.

«Nuestras publicaciones iniciales en TiltedTemple se centraron en los ataques que ocurrieron a través de servidores ManageEngine ADSelfService Plus comprometidos y a través de ManageEngine ServiceDesk Plus», dijeron los investigadores.

«La campaña TiltedTemple ha comprometido a organizaciones de las industrias de tecnología, energía, salud, educación, finanzas y defensa y ha llevado a cabo actividades de reconocimiento contra estas industrias y otras, incluida la infraestructura asociada con cinco estados de EE. UU. Encontramos SockDetour alojado en infraestructura asociada con TiltedTemple, aunque aún no hemos determinado si este es el trabajo de un solo actor de amenazas o de varios».

La Unidad 42 comenzó su investigación de la campaña TitledTemple en agosto de 2021 y encontró evidencia de que SockDetour «se entregó desde un servidor FTP externo al servidor de Windows con acceso a Internet de un contratista de defensa con sede en EE. UU. el 27 de julio de 2021».

El servidor FTP también albergaba otras herramientas utilizadas por el actor de amenazas, como una herramienta de volcado de memoria y webshells ASP, según la Unidad 42. La compañía descubrió que después de analizar el ataque, al menos otros tres contratistas de defensa con sede en EE. UU. fueron atacados por el mismo actor.

«El servidor FTP que alojaba a SockDetour era un servidor de almacenamiento conectado a la red (NAS) para pequeñas oficinas y oficinas domésticas (SOHO) de Quality Network Appliance Provider (QNAP). Se sabe que el servidor NAS tiene múltiples vulnerabilidades, incluida una vulnerabilidad de ejecución remota de código , CVE-2021-28799», dijeron los investigadores.

«Esta vulnerabilidad fue aprovechada por varias familias de ransomware en campañas de infección masiva en abril de 2021. Creemos que el actor de amenazas detrás de SockDetour probablemente también aprovechó estas vulnerabilidades para comprometer el servidor NAS. De hecho, el servidor NAS ya estaba infectado con QLocker del ransomware anterior. campañas».

La Unidad 42 notó que el actor de amenazas logró convertir SockDetour en un código de shell utilizando el generador de código de shell de código abierto Donut framework. Cuando se inyecta en procesos de destino elegidos manualmente, la puerta trasera «aprovecha el paquete de la biblioteca Microsoft Detours, que está diseñado para monitorear e instrumentar llamadas API en Windows para secuestrar un socket de red».

Deja un comentario