Cybersecurity-Forscher haben eine bisher undokumentierte und unauffällige Malware namens SockDetour entdeckt, die es auf US-amerikanische Verteidigungsunternehmen abgesehen hat und als sekundäres Implantat auf kompromittierten Windows-Rechnern eingesetzt werden soll.
„SockDetour ist eine Backdoor, die so konzipiert ist, dass sie unbemerkt auf kompromittierten Windows-Servern verbleibt, um als Backup-Backdoor zu dienen, falls die primäre Backdoor versagt“, heißt es in einem am Donnerstag veröffentlichten Bericht der Unit 42 von Palo Alto Networks. „Sie ist schwer zu entdecken, da sie ohne Dateien und Sockets auf kompromittierten Windows-Servern arbeitet.
Noch besorgniserregender ist, dass SockDetour mindestens seit Juli 2019 in Angriffen eingesetzt wird. Dies geht aus dem Zeitstempel hervor, der bei der Zusammenstellung des Beispiels verwendet wurde, was bedeutet, dass die Backdoor mehr als zweieinhalb Jahre lang unentdeckt bleiben konnte.
Die Angriffe werden einem Bedrohungscluster zugeschrieben, das von Microsoft als TiltedTemple (auch DEV-0322 genannt) bezeichnet wird. Dabei handelt es sich um eine Hackergruppe, die von China aus operiert und im vergangenen Jahr Zero-Day-Schwachstellen in Zoho ManageEngine ADSelfService Plus und ServiceDesk Plus als Ausgangspunkt für Malware-Angriffe genutzt hat.
Die Verbindungen zu TiltedTemple ergeben sich aus Überschneidungen in der Angriffsinfrastruktur: Einer der Command-and-Control (C2)-Server, der für die Verteilung der Malware für die Kampagnen Ende 2021 genutzt wurde, beherbergte auch die SockDetour-Backdoor sowie ein Programm zum Speicherabzug und zahlreiche Web-Shells für den Fernzugriff.
Unit 42 gab an, Beweise für mindestens vier Verteidigungsunternehmen gefunden zu haben, die von der neuen Angriffswelle betroffen waren, so dass eines von ihnen kompromittiert wurde.
Die Angriffe sind außerdem einen Monat älter als die Angriffe, die im August 2021 über kompromittierte Zoho ManageEngine-Server erfolgten. Die Analyse der Kampagne hat ergeben, dass SockDetour am 27. Juli 2021 von einem externen FTP-Server auf den Windows-Server eines in den USA ansässigen Rüstungsunternehmens übertragen wurde.
„Der FTP-Server, auf dem SockDetour gehostet wurde, war ein kompromittierter Quality Network Appliance Provider (QNAP) Small Office and Home Office (SOHO) Network-Attached Storage (NAS) Server“, so die Forscher. „Der NAS-Server ist für mehrere Schwachstellen bekannt, darunter die Schwachstelle CVE-2021-28799, die die Ausführung von Remotecode ermöglicht.
Außerdem soll derselbe Server bereits mit der Ransomware QLocker infiziert gewesen sein, was die Möglichkeit nahelegt, dass der TiltedTemple-Akteur die oben genannte Schwachstelle ausgenutzt hat, um sich unbefugt Zugang zu verschaffen.
SockDetour wiederum ist als Backdoor konzipiert, die die Netzwerk-Sockets legitimer Prozesse kapert, um einen eigenen verschlüsselten C2-Kanal einzurichten und anschließend eine nicht identifizierte Plugin-DLL-Datei vom Server zu laden.
„SockDetour muss also weder einen lauschenden Port öffnen, um eine Verbindung zu empfangen, noch ein externes Netzwerk aufrufen, um einen C2-Kanal aufzubauen“, so die Forscher. „Das macht es schwieriger, die Hintertür sowohl auf der Host- als auch auf der Netzwerkebene zu entdecken.