Vipertunnel backdoor
Az ExtraHop elemzése szerint a Vipertunnel egy új, Python-alapú backdoor és SOCKS5 proxy, amelyet EvilCorp-hoz köthető szereplők alkalmaznak zsarolóvírus-támadások előkészítésére. A malware legitim fájloknak álcázza magát, Python futtatókörnyezetet használ, majd SOCKS5-alagutat hoz létre, amelyen keresztül a támadók rejtett hozzáférést kapnak a kompromittált hálózathoz. Ez lehetővé teszi az oldalirányú mozgást, a további eszközök telepítését és az adatlopást anélkül, hogy közvetlenül új bejövő kapcsolatokat kellene létrehozniuk.
A kutatók szerint a Vipertunnel legfontosabb jellemzője, hogy proxyként működik, így a kompromittált gépet ugrópontként használva elrejti a támadók valódi infrastruktúráját, miközben a hálózati forgalom legitim SOCKS5-kommunikációnak tűnhet. Az ExtraHop szerint a malware elsősorban ransomware-hez kapcsolódó behatolások során jelenik meg, ezért a Python-folyamatok szokatlan hálózati aktivitása, az új SOCKS5-kapcsolatok és a hosszan fennmaradó titkosított alagutak hatékony indikátorai lehetnek a kompromittálódásnak.