Американскую оборонку атакует бесфайловый бэкдор SockDetour

Американскую оборонку атакует бесфайловый бэкдор SockDetour

Американскую оборонку атакует бесфайловый бэкдор SockDetour

При разборе летних атак в рамках APT-кампании с кодовым именем TiltedTemple эксперты Palo Alto Network выявили новый бэкдор, используемый в качестве резерва. Зловреда SockDetour трудно обнаружить: он работает только в памяти, а для связи с C2 использует сокеты легитимных процессов.

По данным Palo Alto, кастомный вредонос используется в целевых атаках как минимум с июля 2019 года и ни разу не обновлялся. Подвергнутый анализу образец (64-битный PE) был обнаружен на Windows-сервере местного подрядчика Минобороны США. Как потом выяснилось, те же злоумышленники пытались атаковать трех других военных подрядчиков в этой стране.

В целевую систему SockDetour попадает через эксплойт (CVE-2021-40539 или CVE-2021-44077 для продуктов Zoho ManageEngine). Загрузка бэкдора осуществляется с внешнего FTP-сервера — взломанного хранилища QNAP NAS, уязвимости которого любят использовать операторы шифровальщиков.

Чтобы его не заметили, зловред внедряется в память запущенного легитимного процесса (для конвертации в шелл-код используется рамочный opensource-генератор Donut). Процесс-донор, видимо, задается оператором SockDetour: в обнаруженных сэмплах ID были жестко прописаны в коде.

Канал шифрованной связи с C2 вредонос организует, используя уже открытые сокетные соединения — ставит хук на функцию Winsock accept() с помощью библиотеки Microsoft Detours (позволяет перехватывать вызовы API-функций в Windows).

 

Единственной задачей SockDetour, насколько удалось определить, является загрузка DLL подключаемого модуля. Этот пейлоад весом не более 5 Мбайт тоже не оставляет на машине никаких следов в виде файлов и незаметно общается со своим сервером, угоняя сокет донорского процесса. Образцов плагина аналитики не нашли, и его назначение пока неизвестно.

47% россиян не готовы платить за зарубежный интернет, 28% уйдут в VPN

Идея сделать международный интернет платным не вызвала у россиян никакого энтузиазма. По данным исследования MAR CONSULT, 47% пользователей заявили, что вообще не готовы платить за доступ к зарубежным сайтам и сервисам. Еще 28% признались, что в таком случае будут искать способы обхода ограничений — через VPN, прокси и другие инструменты.

Зарубежные сервисы по-прежнему занимают заметную часть интернет-жизни россиян.

У четверти опрошенных они составляют не менее половины всего потребляемого трафика, а 4% пользуются практически исключительно иностранными ресурсами.

Самыми востребованными остаются зарубежные видеохостинги — YouTube, Vimeo и другие используют 45% респондентов. Среди молодежи от 18 до 24 лет этот показатель достигает 76%. Далее идут зарубежные мессенджеры (30%), облачные сервисы и почта (25%), социальные сети (20%) и ИИ-сервисы вроде ChatGPT, Gemini и Midjourney (20%).

К самой идее оплаты международного трафика большинство относится резко отрицательно. 59% выступают против такой инициативы, а столько же считают ее несправедливой. Поддерживают нововведение лишь 8% участников исследования.

Если плата все же появится, вариантов поведения у пользователей немного. Помимо тех, кто собирается искать обходные пути, 15% готовы полностью отказаться от зарубежных сервисов, 10% обещают перейти на российские аналоги, 8% планируют просто сократить использование иностранного контента. И лишь 4% заявили, что готовы платить любую установленную сумму.

Готовность платить тоже оказалась весьма скромной. Только 28% потенциально согласны на дополнительные расходы, причем половина из них — не более 100 рублей в месяц.

Генеральный директор MAR CONSULT Дмитрий Шиманов считает, что подобная мера скорее подтолкнет пользователей к нелегальным способам доступа, чем поможет развитию российских цифровых сервисов. По его мнению, рынок VPN и других инструментов обхода ограничений в таком случае получит новый импульс для роста, а идея импортозамещения в глазах пользователей станет выглядеть еще менее убедительной.

RSS: Новости на портале Anti-Malware.ru