Il malware HTTPSnoop prende di mira il Medio Oriente

In Medio Oriente, i fornitori di servizi di telecomunicazione sono diventati il fulcro di una nuova operazione di intrusione nota come ShroudedSnooper. Questa operazione utilizza una backdoor segreta chiamata HTTPSnoop.

Secondo un rapporto condiviso con The Hacker News da Cisco Talos, HTTPSnoop è descritto come una backdoor semplice ma efficiente. Incorpora tecniche innovative per interagire con i driver e i dispositivi del kernel HTTP di Windows, consentendogli di monitorare le richieste in arrivo per URL HTTP(S) specifici ed eseguire il contenuto associato sull'endpoint infetto.

Inoltre, l'autore della minaccia possiede un altro impianto chiamato PipeSnoop. Questo impianto, nome in codice PipeSnoop, è in grado di accettare shellcode arbitrario attraverso una pipe denominata ed eseguirlo sull'endpoint compromesso.

Si sospetta che ShroudedSnooper prenda di mira i server collegati a Internet e utilizzi HTTPSnoop per ottenere l'accesso iniziale agli ambienti di destinazione. Entrambi questi ceppi di malware si mascherano da componenti dell'applicazione Cortex XDR di Palo Alto Networks, in particolare "CyveraConsole.exe", nel tentativo di evitare il rilevamento.

HTTPSnoop è disponibile in diversi gusti

Ad oggi sono state identificate tre diverse varianti di HTTPSnoop. Il malware si basa su API Windows di basso livello per monitorare le richieste in arrivo che corrispondono a modelli URL predefiniti. Quindi estrae lo shellcode, che viene successivamente eseguito sull'host.

Questi URL HTTP imitano quelli associati ai servizi Web Microsoft Exchange, OfficeTrack e ai servizi di provisioning collegati a una società di telecomunicazioni israeliana. Questo viene fatto nel tentativo di far sì che le richieste dannose appaiano quasi identiche al traffico legittimo.

I ricercatori di Talos hanno notato che gli URL HTTP utilizzati da HTTPSnoop, insieme al suo collegamento al server Web Windows integrato, suggeriscono che è stato probabilmente progettato per funzionare su server Web ed EWS esposti a Internet. Al contrario, PipeSnoop, come suggerisce il nome, legge e scrive dati da e verso una pipe IPC di Windows per funzioni di input/output (I/O).

Ciò indica che PipeSnoop è probabilmente destinato all'uso all'interno di un ambiente aziendale compromesso, piuttosto che su server pubblici come HTTPSnoop. Probabilmente è pensato per prendere di mira gli endpoint che gli operatori di malware considerano più preziosi o ad alta priorità.

La natura del malware suggerisce che PipeSnoop non può funzionare come un impianto autonomo e richiede un componente ausiliario che funga da server per ottenere lo shellcode attraverso metodi alternativi e trasmetterlo attraverso la pipe denominata alla backdoor.

Negli ultimi anni prendere di mira il settore delle telecomunicazioni, soprattutto in Medio Oriente, è diventato una tendenza ricorrente. Vari autori di minacce, tra cui Lebanese Cedar, MuddyWater (aka Seedworm), BackdoorDiplomacy, WIP26 e Granite Typhoon (ex Gallium), sono stati collegati ad attacchi contro fornitori di servizi di telecomunicazione nella regione nell'ultimo anno.