Американскую оборонку атакует бесфайловый бэкдор SockDetour

Американскую оборонку атакует бесфайловый бэкдор SockDetour

Американскую оборонку атакует бесфайловый бэкдор SockDetour

При разборе летних атак в рамках APT-кампании с кодовым именем TiltedTemple эксперты Palo Alto Network выявили новый бэкдор, используемый в качестве резерва. Зловреда SockDetour трудно обнаружить: он работает только в памяти, а для связи с C2 использует сокеты легитимных процессов.

По данным Palo Alto, кастомный вредонос используется в целевых атаках как минимум с июля 2019 года и ни разу не обновлялся. Подвергнутый анализу образец (64-битный PE) был обнаружен на Windows-сервере местного подрядчика Минобороны США. Как потом выяснилось, те же злоумышленники пытались атаковать трех других военных подрядчиков в этой стране.

В целевую систему SockDetour попадает через эксплойт (CVE-2021-40539 или CVE-2021-44077 для продуктов Zoho ManageEngine). Загрузка бэкдора осуществляется с внешнего FTP-сервера — взломанного хранилища QNAP NAS, уязвимости которого любят использовать операторы шифровальщиков.

Чтобы его не заметили, зловред внедряется в память запущенного легитимного процесса (для конвертации в шелл-код используется рамочный opensource-генератор Donut). Процесс-донор, видимо, задается оператором SockDetour: в обнаруженных сэмплах ID были жестко прописаны в коде.

Канал шифрованной связи с C2 вредонос организует, используя уже открытые сокетные соединения — ставит хук на функцию Winsock accept() с помощью библиотеки Microsoft Detours (позволяет перехватывать вызовы API-функций в Windows).

 

Единственной задачей SockDetour, насколько удалось определить, является загрузка DLL подключаемого модуля. Этот пейлоад весом не более 5 Мбайт тоже не оставляет на машине никаких следов в виде файлов и незаметно общается со своим сервером, угоняя сокет донорского процесса. Образцов плагина аналитики не нашли, и его назначение пока неизвестно.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Indeed AM 9.3 получила автоустановку и поддержку FreeIPA

Компания «Индид» представила обновление Indeed Access Manager 9.3 (Indeed AM) — системы для централизованного управления доступом и учётными записями. В новой версии появилась автоматическая установка, поддержка FreeIPA, а также два новых модуля — Indeed AM Linux Logon и Indeed AM LDAP Proxy.

Быстрая установка и настройка

Главное изменение — мастер конфигурации, который помогает автоматизировать установку и настройку Indeed AM. Он предлагает типовые параметры по умолчанию и проверяет корректность действий на каждом этапе. Это упрощает развёртывание системы и снижает риск ошибок.

Работа в Linux и импортонезависимая среда

Для пользователей, работающих в Linux, добавлен модуль Indeed AM Linux Logon, который обеспечивает двухфакторную аутентификацию. Он интегрируется с библиотекой Pluggable Authentication Modules (PAM) и поддерживает различные сценарии входа — локальный логин, разблокировку, SSH, SU, RDP и другие.

Кроме того, в систему добавлена поддержка каталога пользователей FreeIPA — аналога Active Directory для Linux. Это позволяет администраторам управлять пользователями без зависимости от инфраструктуры Microsoft.

Новый модуль LDAP Proxy

Модуль Indeed AM LDAP Proxy предназначен для организации двухфакторной аутентификации в приложениях, использующих LDAP-протокол. Он позволяет настраивать тайм-ауты и время подтверждения пуш-аутентификации, ведёт лог событий и обеспечивает взаимную аутентификацию между LDAP-сервером и клиентом. Это повышает безопасность при локальных и удалённых подключениях.

Разработчики отмечают, что цель обновления — упростить настройку и повысить гибкость управления доступом, особенно в средах, где используются отечественные и открытые технологии.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru