El malware HTTPSnoop apunta a Medio Oriente

En Oriente Medio, los proveedores de servicios de telecomunicaciones se han convertido en el foco de una nueva operación de intrusión conocida como ShroudedSnooper. Esta operación utiliza una puerta trasera encubierta llamada HTTPSnoop.

Según un informe compartido con The Hacker News por Cisco Talos, HTTPSnoop se describe como una puerta trasera sencilla pero eficiente. Incorpora técnicas innovadoras para interactuar con los controladores y dispositivos del kernel HTTP de Windows, lo que le permite monitorear las solicitudes entrantes de URL HTTP(S) específicas y ejecutar el contenido asociado en el punto final infectado.

Además, el actor de amenazas posee otro implante llamado PipeSnoop. Este implante, cuyo nombre en código es PipeSnoop, es capaz de aceptar código shell arbitrario a través de una canalización con nombre y ejecutarlo en el punto final comprometido.

Se sospecha que ShroudedSnooper apunta a servidores con acceso a Internet e implementa HTTPSnoop para obtener acceso inicial a los entornos de destino. Ambas cepas de malware se hacen pasar por componentes de la aplicación Cortex XDR de Palo Alto Networks, específicamente "CyveraConsole.exe", en un intento de evitar la detección.

HTTPSnoop viene en diferentes versiones

Hasta la fecha se han identificado tres variantes diferentes de HTTPSnoop. El malware se basa en API de Windows de bajo nivel para monitorear las solicitudes entrantes que coinciden con patrones de URL predefinidos. Luego extrae el código shell, que posteriormente se ejecuta en el host.

Estas URL HTTP imitan las asociadas con los servicios web de Microsoft Exchange, OfficeTrack y los servicios de aprovisionamiento vinculados a una empresa de telecomunicaciones israelí. Esto se hace en un esfuerzo por hacer que las solicitudes maliciosas parezcan casi idénticas al tráfico legítimo.

Los investigadores de Talos notaron que las URL HTTP utilizadas por HTTPSnoop, junto con su enlace al servidor web integrado de Windows, sugieren que probablemente fue diseñado para operar en servidores web y EWS expuestos a Internet. Por el contrario, PipeSnoop, como lo indica su nombre, lee y escribe datos hacia y desde una tubería IPC de Windows para funciones de entrada/salida (E/S).

Esto indica que PipeSnoop probablemente esté diseñado para usarse dentro de un entorno empresarial comprometido, en lugar de servidores públicos como HTTPSnoop. Probablemente esté destinado a apuntar a puntos finales que los operadores de malware consideran más valiosos o de alta prioridad.

La naturaleza del malware sugiere que PipeSnoop no puede funcionar como un implante independiente y requiere un componente auxiliar que actúe como servidor para obtener el código shell a través de métodos alternativos y pasarlo a través de la tubería con nombre hasta la puerta trasera.

Apuntar al sector de las telecomunicaciones, especialmente en Oriente Medio, se ha convertido en una tendencia recurrente en los últimos años. Varios actores de amenazas, incluidos Lebanese Cedar, MuddyWater (también conocido como Seedworm), BackdoorDiplomacy, WIP26 y Granite Typhoon (anteriormente Gallium), han sido vinculados con ataques a proveedores de servicios de telecomunicaciones en la región durante el año pasado.