به گزارش کارگروه حملات سایبری سایبربان؛ بر اساس ادعای محققین واحد 42 پالو آلتو، یک کمپین پیشرفته به نام TitledTemple (تایتِلد تِمپِل) با استفاده از ابزار پیچیده ای به نام SockDetour (ساکدیتور) در حال هدف قرار دادن پیمانکاران دفاعی آمریکاست.
طبق گزارش محققین، این بازیگران مخرب که با استفاده از تکنیک های متنوعی به سیستم های در معرض خطر دسترسی پیدا می کنند، تا به حال بیش از 12 سازمان مختلف در بخش های فناوری، انرژی، مراقبت های بهداشتی، آموزشی، مالی و دفاعی را هدف قرار داده اند.
محققین معتقدند عاملین در پشتی ساکدیتور بر روی هدف قرار دادن پیمانکاران دفاعی آمریکا متمرکز هستند. طبق شواهد، دست کم 4 پیمانکار دفاعی در این کمپین مورد هدف قرار گرفته اند. آن ها بر این باورند که ساکدیتور دست کم از جولای 2019 در حملات مورد استفاده قرار دارد.
ظاهرا این در پشتی برای مدت طولانی به صورت نا شناس فعالیت کرده است.
محققین واحد 42 در حین بررسی این کمپین متوجه شدند که ساکدیتور به منظور پایداری و فعالیت مخفیانه بر روی سرورهای نا ایمن ویندوز طراحی شده است. بنابراین می توان از آن به عنوان نسخه پشتیبان در پشتی نیز استفاده کرد.
شناسایی این ابزار کار سختی است زیرا که این در پشتی به صورت بدون فایل بر روی سرورهای در معرض خطر ویندوز فعالیت می کند. ابزارها و زیرساخت های کنترل و فرمان متنوعی در این کمپین مورد استفاده قرار گرفت.
این کمپین اولین بار از شروع آگوست 2021 شناسایی شد.
