HTTPSnoop-Malware zielt auf den Nahen Osten ab

Im Nahen Osten sind Telekommunikationsdienstleister zum Fokus einer neuen Einbruchsoperation namens ShroudedSnooper geworden. Dieser Vorgang nutzt eine verdeckte Hintertür namens HTTPSnoop.

Laut einem von Cisco Talos mit The Hacker News geteilten Bericht wird HTTPSnoop als unkomplizierte und dennoch effiziente Hintertür beschrieben. Es integriert innovative Techniken zur Interaktion mit Windows-HTTP-Kernel-Treibern und -Geräten und ermöglicht so die Überwachung eingehender Anforderungen für bestimmte HTTP(S)-URLs und die Ausführung des zugehörigen Inhalts auf dem infizierten Endpunkt.

Darüber hinaus verfügt der Bedrohungsakteur über ein weiteres Implantat namens PipeSnoop. Dieses Implantat mit dem Codenamen PipeSnoop ist in der Lage, beliebigen Shellcode über eine Named Pipe zu akzeptieren und ihn auf dem kompromittierten Endpunkt auszuführen.

Es wird vermutet, dass ShroudedSnooper auf mit dem Internet verbundene Server abzielt und HTTPSnoop einsetzt, um ersten Zugriff auf die Zielumgebungen zu erhalten. Beide Malware-Stämme tarnen sich als Komponenten der Cortex-XDR-Anwendung von Palo Alto Networks, insbesondere „CyveraConsole.exe“, um einer Entdeckung zu entgehen.

HTTPSnoop gibt es in verschiedenen Varianten

Bisher wurden drei verschiedene Varianten von HTTPSnoop identifiziert. Die Malware nutzt Low-Level-Windows-APIs, um eingehende Anfragen zu überwachen, die vordefinierten URL-Mustern entsprechen. Anschließend wird der Shellcode extrahiert, der anschließend auf dem Host ausgeführt wird.

Diese HTTP-URLs imitieren diejenigen, die mit Microsoft Exchange Web Services, OfficeTrack und Bereitstellungsdiensten verbunden sind, die mit einem israelischen Telekommunikationsunternehmen verbunden sind. Dies geschieht in dem Bemühen, die böswilligen Anfragen nahezu identisch mit legitimem Datenverkehr erscheinen zu lassen.

Talos-Forscher stellten fest, dass die von HTTPSnoop verwendeten HTTP-URLs zusammen mit der Bindung an den integrierten Windows-Webserver darauf hindeuten, dass es wahrscheinlich für den Betrieb auf internetexponierten Web- und EWS-Servern konzipiert wurde. Im Gegensatz dazu liest und schreibt PipeSnoop, wie der Name schon sagt, Daten in und aus einer Windows-IPC-Pipe für Eingabe-/Ausgabefunktionen (I/O).

Dies weist darauf hin, dass PipeSnoop wahrscheinlich für den Einsatz in einer kompromittierten Unternehmensumgebung gedacht ist und nicht für öffentlich zugängliche Server wie HTTPSnoop. Es ist wahrscheinlich dazu gedacht, Endpunkte anzugreifen, die die Malware-Betreiber als wertvoller oder mit hoher Priorität erachten.

Die Art der Malware legt nahe, dass PipeSnoop nicht als eigenständiges Implantat fungieren kann und eine Hilfskomponente benötigt, die als Server fungiert, um den Shellcode über alternative Methoden abzurufen und ihn über die Named Pipe an die Hintertür weiterzuleiten.

Die Ausrichtung auf den Telekommunikationssektor, insbesondere im Nahen Osten, ist in den letzten Jahren zu einem wiederkehrenden Trend geworden. Verschiedene Bedrohungsakteure, darunter Libanese Cedar, MuddyWater (auch bekannt als Seedworm), BackdoorDiplomacy, WIP26 und Granite Typhoon (ehemals Gallium), wurden im vergangenen Jahr mit Angriffen auf Telekommunikationsdienstleister in der Region in Verbindung gebracht.