A HTTPSnoop malware a Közel-Keletet célozza

A Közel-Keleten a távközlési szolgáltatók kerültek a ShroudedSnooper néven ismert új behatolási művelet középpontjába. Ez a művelet egy HTTPSnoop nevű rejtett hátsó ajtót használ.

A Cisco Talos The Hacker News-szal megosztott jelentése szerint a HTTPSnoop-ot egyszerű, mégis hatékony hátsó ajtóként írják le. Innovatív technikákat tartalmaz a Windows HTTP kernel-illesztőprogramokkal és -eszközökkel való interakcióhoz, lehetővé téve a bejövő kérések figyelését meghatározott HTTP(S) URL-ekre, és a kapcsolódó tartalmak végrehajtását a fertőzött végponton.

Ezenkívül a fenyegetőző egy másik, PipeSnoop nevű implantátummal is rendelkezik. Ez a PipeSnoop kódnevű implantátum képes tetszőleges shellkód elfogadására egy elnevezett csövön keresztül, és végrehajtani azt a veszélyeztetett végponton.

A gyanú szerint a ShroudedSnooper az internet felé néző szervereket célozza meg, és a HTTPSnoop-ot telepíti, hogy kezdeti hozzáférést kapjon a célkörnyezetekhez. Mindkét rosszindulatú program a Palo Alto Networks Cortex XDR alkalmazásának, konkrétan a „CyveraConsole.exe” összetevőjének álcázza magát az észlelés elkerülése érdekében.

A HTTPSnoop különböző ízekben kapható

A mai napig a HTTPSnoop három különböző változatát azonosították. A rosszindulatú program alacsony szintű Windows API-kra támaszkodik az előre meghatározott URL-mintáknak megfelelő bejövő kérések figyeléséhez. Ezután kibontja a shellkódot, amely ezt követően a gazdagépen végrehajtódik.

Ezek a HTTP URL-ek utánozzák az izraeli távközlési vállalathoz kapcsolódó Microsoft Exchange Web Services, OfficeTrack és kiépítési szolgáltatásokhoz kapcsolódó URL-címeket. Ennek célja annak érdekében, hogy a rosszindulatú kérések szinte azonosnak tűnjenek a legitim forgalommal.

A Talos kutatói megjegyezték, hogy a HTTPSnoop által használt HTTP URL-ek, valamint a beépített Windows webszerverhez való kötődése azt sugallja, hogy valószínűleg úgy tervezték, hogy internetes web- és EWS-kiszolgálókon működjön. Ezzel szemben a PipeSnoop, amint azt a neve is sugallja, adatokat olvas és ír egy Windows IPC-csőbe és onnan az input/output (I/O) funkciókhoz.

Ez azt jelzi, hogy a PipeSnoop valószínűleg kompromittált vállalati környezetben való használatra készült, nem pedig nyilvános kiszolgálókon, mint például a HTTPSnoop. Valószínűleg olyan végpontok célzására szolgál, amelyeket a rosszindulatú programok üzemeltetői értékesebbnek vagy kiemelt fontosságúnak tartanak.

A kártevő természete azt sugallja, hogy a PipeSnoop nem tud önálló implantátumként működni, és szükség van egy segédkomponensre, amely szerverként működik a shellkód alternatív módszerekkel történő megszerzéséhez, és a megnevezett csövön keresztül a hátsó ajtóhoz való továbbításához.

A telekommunikációs szektor megcélzása, különösen a Közel-Keleten, az elmúlt években visszatérő tendenciává vált. Különféle fenyegetést okozó szereplőket, köztük a libanoni cédrust, a MuddyWater-t (más néven Seedworm), a BackdoorDiplomacy-t, a WIP26-ot és a Granite Typhoon-t (korábban Gallium) hozták összefüggésbe a térség távközlési szolgáltatói elleni támadásokkal az elmúlt évben.