SockDetour Malware

Se ha utilizado una amenaza de puerta trasera sin archivos ni sockets para proporcionar a los ciberdelincuentes acceso de puerta trasera a computadoras ya comprometidas. La amenaza está siendo rastreada como el malware SockDetour, y los detalles sobre su funcionamiento fueron publicados en un informe de la Unidad 42 de Palo Alto Network.

Según sus hallazgos, se ha logrado que SockDeteour pase desapercibido para la comunidad de ciberseguridad durante al menos tres años desde 2019. Su objetivo principal es actuar como un canal de puerta trasera secundario y permitir que los atacantes mantengan su presencia en las máquinas objetivo. La amenaza es extremadamente sigilosa, ya que realiza sus operaciones cargando procesos de servicio legítimos sin archivos y abusando de sockets de red auténticos de los procesos relacionados para conectarse y mantener su canal de servidor Comando y Control (C2, C&C) encriptado.

Atribución y objetivos

Los investigadores de seguridad informática de la Unidad 42 creen que SockDetour es parte del arsenal amenazador de un grupo APT (Advanced Persistent Threat) conocido como APT27 o TiltedTemple. El grupo es conocido por sus operaciones anteriores dirigidas a entidades corporativas y agencias que trabajan en los sectores de defensa, aeroespacial, gobierno, energía, tecnología y manufactura. El objetivo aparente de las operaciones dañinas es el ciberespionaje.

Los objetivos infectados con SockDetour se ajustan al perfil ya establecido. Hasta ahora, el malware ha sido identificado dentro de la red de un contrato de defensa con sede en EE. UU., mientras que se cree que otros tres son el objetivo de los piratas informáticos.