Le logiciel malveillant HTTPSnoop cible le Moyen-Orient
Au Moyen-Orient, les fournisseurs de services de télécommunications sont devenus la cible d'une nouvelle opération d'intrusion connue sous le nom de ShroudedSnooper. Cette opération utilise une porte dérobée secrète appelée HTTPSnoop.
Selon un rapport partagé avec The Hacker News par Cisco Talos, HTTPSnoop est décrit comme une porte dérobée simple mais efficace. Il intègre des techniques innovantes pour interagir avec les pilotes et périphériques du noyau HTTP Windows, ce qui lui permet de surveiller les requêtes entrantes pour des URL HTTP(S) spécifiques et d'exécuter le contenu associé sur le point final infecté.
De plus, l’acteur malveillant possède un autre implant appelé PipeSnoop. Cet implant, nommé PipeSnoop, est capable d'accepter un shellcode arbitraire via un canal nommé et de l'exécuter sur le point final compromis.
On soupçonne que ShroudedSnooper cible les serveurs Internet et déploie HTTPSnoop pour obtenir un accès initial aux environnements cibles. Ces deux souches de logiciels malveillants se font passer pour des composants de l'application Cortex XDR de Palo Alto Networks, en particulier « CyveraConsole.exe », pour tenter d'éviter la détection.
HTTPSnoop est disponible en différentes saveurs
À ce jour, trois variantes différentes de HTTPSnoop ont été identifiées. Le malware s'appuie sur des API Windows de bas niveau pour surveiller les requêtes entrantes qui correspondent à des modèles d'URL prédéfinis. Il extrait ensuite le shellcode, qui est ensuite exécuté sur l'hôte.
Ces URL HTTP imitent celles associées aux services Web Microsoft Exchange, à OfficeTrack et aux services de provisionnement liés à une société de télécommunications israélienne. Ceci est fait dans le but de rendre les requêtes malveillantes presque identiques au trafic légitime.
Les chercheurs de Talos ont noté que les URL HTTP utilisées par HTTPSnoop, ainsi que sa liaison au serveur Web Windows intégré, suggèrent qu'il a probablement été conçu pour fonctionner sur des serveurs Web et EWS exposés à Internet. En revanche, PipeSnoop, comme son nom l'indique, lit et écrit des données vers et depuis un canal Windows IPC pour les fonctions d'entrée/sortie (E/S).
Cela indique que PipeSnoop est probablement destiné à être utilisé dans un environnement d'entreprise compromis, plutôt que dans des serveurs publics comme HTTPSnoop. Il est probablement destiné à cibler les points finaux que les opérateurs de logiciels malveillants considèrent comme plus précieux ou prioritaires.
La nature du malware suggère que PipeSnoop ne peut pas fonctionner comme un implant autonome et nécessite qu'un composant auxiliaire agisse comme un serveur pour obtenir le shellcode par des méthodes alternatives et le transmettre via le canal nommé jusqu'à la porte dérobée.
Cibler le secteur des télécommunications, notamment au Moyen-Orient, est devenu une tendance récurrente ces dernières années. Divers acteurs de la menace, notamment Lebanon Cedar, MuddyWater (alias Seedworm), BackdoorDiplomacy, WIP26 et Granite Typhoon (anciennement Gallium), ont été associés à des attaques contre des fournisseurs de services de télécommunications dans la région au cours de l'année écoulée.