Το κακόβουλο λογισμικό HTTPSnoop στοχεύει στη Μέση Ανατολή
Στη Μέση Ανατολή, οι πάροχοι τηλεπικοινωνιακών υπηρεσιών έχουν γίνει το επίκεντρο μιας νέας επιχείρησης εισβολής γνωστής ως ShroudedSnooper. Αυτή η λειτουργία χρησιμοποιεί μια κρυφή κερκόπορτα που ονομάζεται HTTPSnoop.
Σύμφωνα με μια αναφορά που κοινοποιήθηκε στο The Hacker News από τον Cisco Talos, το HTTPSnoop περιγράφεται ως ένα απλό αλλά αποτελεσματικό backdoor. Ενσωματώνει καινοτόμες τεχνικές για την αλληλεπίδραση με προγράμματα οδήγησης και συσκευές πυρήνα HTTP των Windows, επιτρέποντάς του να παρακολουθεί τα εισερχόμενα αιτήματα για συγκεκριμένες διευθύνσεις URL HTTP(S) και να εκτελεί το σχετικό περιεχόμενο στο μολυσμένο τελικό σημείο.
Επιπλέον, ο ηθοποιός της απειλής διαθέτει ένα άλλο εμφύτευμα που ονομάζεται PipeSnoop. Αυτό το εμφύτευμα, με την κωδική ονομασία PipeSnoop, είναι ικανό να δέχεται αυθαίρετο κέλυφος μέσω ενός ονομασμένου σωλήνα και να τον εκτελεί στο παραβιασμένο τελικό σημείο.
Υποπτεύεται ότι το ShroudedSnooper στοχεύει διακομιστές που αντιμετωπίζουν το Διαδίκτυο και αναπτύσσει το HTTPSnoop για να αποκτήσει αρχική πρόσβαση στα περιβάλλοντα-στόχους. Και τα δύο αυτά στελέχη κακόβουλου λογισμικού μεταμφιέζονται ως στοιχεία της εφαρμογής Cortex XDR της Palo Alto Networks, συγκεκριμένα του "CyveraConsole.exe", σε μια προσπάθεια να αποφευχθεί ο εντοπισμός.
Το HTTPSnoop έρχεται σε διαφορετικές γεύσεις
Μέχρι σήμερα, έχουν εντοπιστεί τρεις διαφορετικές παραλλαγές του HTTPSnoop. Το κακόβουλο λογισμικό βασίζεται σε χαμηλού επιπέδου API των Windows για την παρακολούθηση των εισερχόμενων αιτημάτων που αντιστοιχούν σε προκαθορισμένα μοτίβα διευθύνσεων URL. Στη συνέχεια εξάγει τον κώδικα φλοιού, ο οποίος στη συνέχεια εκτελείται στον κεντρικό υπολογιστή.
Αυτές οι διευθύνσεις URL HTTP μιμούνται αυτές που σχετίζονται με τις υπηρεσίες Web Microsoft Exchange, το OfficeTrack και τις υπηρεσίες παροχής που συνδέονται με μια ισραηλινή εταιρεία τηλεπικοινωνιών. Αυτό γίνεται σε μια προσπάθεια να γίνουν τα κακόβουλα αιτήματα να φαίνονται σχεδόν ίδια με τη νόμιμη κυκλοφορία.
Οι ερευνητές του Talos σημείωσαν ότι οι διευθύνσεις URL HTTP που χρησιμοποιούνται από το HTTPSnoop, μαζί με τη σύνδεσή τους στον ενσωματωμένο διακομιστή web των Windows, υποδηλώνουν ότι πιθανότατα σχεδιάστηκε για να λειτουργεί σε διακομιστές ιστού και EWS που εκτίθενται στο Διαδίκτυο. Αντίθετα, το PipeSnoop, όπως υπονοείται από το όνομά του, διαβάζει και γράφει δεδομένα προς και από έναν σωλήνα IPC των Windows για λειτουργίες εισόδου/εξόδου (I/O).
Αυτό υποδηλώνει ότι το PipeSnoop προορίζεται πιθανώς για χρήση σε ένα παραβιασμένο εταιρικό περιβάλλον, αντί για διακομιστές που αντιμετωπίζουν δημόσια, όπως το HTTPSnoop. Πιθανότατα προορίζεται για τη στόχευση τελικών σημείων που οι χειριστές κακόβουλου λογισμικού θεωρούν πιο πολύτιμα ή υψηλής προτεραιότητας.
Η φύση του κακόβουλου λογισμικού υποδηλώνει ότι το PipeSnoop δεν μπορεί να λειτουργήσει ως αυτόνομο εμφύτευμα και απαιτεί ένα βοηθητικό στοιχείο για να λειτουργεί ως διακομιστής για τη λήψη του κώδικα κελύφους μέσω εναλλακτικών μεθόδων και τη διοχέτευσή του μέσω του ονομαζόμενου σωλήνα στην πίσω πόρτα.
Η στόχευση στον τομέα των τηλεπικοινωνιών, ειδικά στη Μέση Ανατολή, έχει γίνει επαναλαμβανόμενη τάση τα τελευταία χρόνια. Διάφοροι παράγοντες απειλών, συμπεριλαμβανομένων των Lebanese Cedar, MuddyWater (γνωστός και ως Seedworm), BackdoorDiplomacy, WIP26 και Granite Typhoon (πρώην Gallium), έχουν συνδεθεί με επιθέσεις σε παρόχους τηλεπικοινωνιακών υπηρεσιών στην περιοχή τον περασμένο χρόνο.
