HTTPSnoop Malware er rettet mod Mellemøsten

I Mellemøsten er telekommunikationstjenesteudbydere blevet fokus for en ny indbrudsoperation kendt som ShroudedSnooper. Denne operation bruger en skjult bagdør kaldet HTTPSnoop.

Ifølge en rapport delt med The Hacker News af Cisco Talos, beskrives HTTPSnoop som en ligetil, men effektiv bagdør. Den inkorporerer innovative teknikker til at interagere med Windows HTTP-kernedrivere og -enheder, så den kan overvåge indgående anmodninger om specifikke HTTP(S) URL'er og udføre det tilknyttede indhold på det inficerede slutpunkt.

Derudover besidder trusselsaktøren et andet implantat kaldet PipeSnoop. Dette implantat, kodenavnet PipeSnoop, er i stand til at acceptere vilkårlig shell-kode gennem et navngivet rør og udføre det på det kompromitterede endepunkt.

Det er mistænkt, at ShroudedSnooper er rettet mod internetservere og implementerer HTTPSnoop for at få indledende adgang til målmiljøerne. Begge disse malware-stammer udgiver sig som komponenter i Palo Alto Networks' Cortex XDR-applikation, specifikt "CyveraConsole.exe", i et forsøg på at undgå opdagelse.

HTTPSnoop kommer i forskellige varianter

Til dato er tre forskellige varianter af HTTPSnoop blevet identificeret. Malwaren er afhængig af Windows API'er på lavt niveau til at overvåge indkommende anmodninger, der matcher foruddefinerede URL-mønstre. Den udtrækker derefter shell-koden, som efterfølgende udføres på værten.

Disse HTTP-URL'er efterligner dem, der er forbundet med Microsoft Exchange Web Services, OfficeTrack og leveringstjenester, der er knyttet til et israelsk teleselskab. Dette gøres i et forsøg på at få de ondsindede anmodninger til at virke næsten identiske med legitim trafik.

Talos-forskere bemærkede, at de HTTP-URL'er, der blev brugt af HTTPSnoop, sammen med dens binding til den indbyggede Windows-webserver, tyder på, at den sandsynligvis var designet til at fungere på internet-eksponerede web- og EWS-servere. I modsætning hertil læser og skriver PipeSnoop, som antydet af navnet, data til og fra et Windows IPC-rør til input/output (I/O)-funktioner.

Dette indikerer, at PipeSnoop sandsynligvis er beregnet til brug i et kompromitteret virksomhedsmiljø snarere end offentlige servere som HTTPSnoop. Det er sandsynligvis beregnet til at målrette mod endepunkter, som malware-operatørerne anser for at være mere værdifulde eller prioriterede.

Naturen af malwaren antyder, at PipeSnoop ikke kan fungere som et selvstændigt implantat og kræver en hjælpekomponent til at fungere som en server til at opnå shell-koden gennem alternative metoder og føre den gennem det navngivne rør til bagdøren.

Målretning mod telekommunikationssektoren, især i Mellemøsten, er blevet en tilbagevendende tendens i de senere år. Forskellige trusselsaktører, herunder libanesisk cedertræ, MuddyWater (alias Seedworm), BackdoorDiplomacy, WIP26 og Granite Typhoon (tidligere Gallium), er blevet sat i forbindelse med angreb på telekommunikationstjenesteudbydere i regionen i løbet af det sidste år.