中東を標的とした HTTPSnoop マルウェア

computer malware

中東では、電気通信サービス プロバイダーが、ShroudedSnooper として知られる新たな侵入作戦の焦点となっています。この操作では、HTTPSnoop と呼ばれる秘密のバックドアが利用されます。

Cisco Talos が The Hacker News に共有したレポートによると、HTTPSnoop は単純かつ効率的なバックドアであると説明されています。 Windows HTTP カーネル ドライバーおよびデバイスと対話する革新的な技術が組み込まれており、特定の HTTP(S) URL に対する受信要求を監視し、感染したエンドポイントで関連コンテンツを実行できます。

さらに、脅威アクターは PipeSnoop と呼ばれる別のインプラントを所有しています。 PipeSnoop というコードネームで呼ばれるこのインプラントは、名前付きパイプを通じて任意のシェルコードを受け入れ、侵害されたエンドポイントで実行することができます。

ShroudedSnooper はインターネットに接続されたサーバーをターゲットにし、HTTPSnoop を展開してターゲット環境への初期アクセスを取得している疑いがあります。これらのマルウェア株は両方とも、検出を回避するために、パロアルトネットワークスの Cortex XDR アプリケーション、具体的には「CyveraConsole.exe」のコンポーネントを装います。

HTTPSnoop にはさまざまな種類があります

現在までに、HTTPSnoop の 3 つの異なる亜種が確認されています。このマルウェアは、低レベルの Windows API を利用して、事前定義された URL パターンに一致する受信リクエストを監視します。次に、シェルコードを抽出し、その後ホスト上で実行されます。

これらの HTTP URL は、Microsoft Exchange Web サービス、OfficeTrack、およびイスラエルの通信会社にリンクされたプロビジョニング サービスに関連する URL を模倣しています。これは、悪意のあるリクエストを正規のトラフィックとほぼ同一に見せかけるために行われます。

Talos の研究者は、HTTPSnoop で使用される HTTP URL と、組み込みの Windows Web サーバへのバインディングから、HTTPSnoop がインターネットに公開された Web サーバおよび EWS サーバ上で動作するように設計されている可能性が高いと指摘しました。対照的に、PipeSnoop は、その名前が示すように、入出力 (I/O) 機能のために Windows IPC パイプとの間でデータを読み書きします。

これは、PipeSnoop が HTTPSnoop のような公開サーバーではなく、侵害されたエンタープライズ環境内での使用を意図している可能性があることを示しています。おそらく、マルウェア運用者がより価値がある、または優先度が高いと考えるエンドポイントをターゲットにすることを目的としています。

このマルウェアの性質から、PipeSnoop はスタンドアロンのインプラントとして機能できず、代替方法でシェルコードを取得し、名前付きパイプを介してバックドアに渡すためのサーバーとして機能する補助コンポーネントが必要であることが示唆されています。

近年、特に中東の電気通信部門を標的とする傾向が繰り返し見られます。過去 1 年間、Lebanese Cedar、MuddyWater (別名 Seedworm)、BackdoorDiplomacy、WIP26、Granite タイフーン (旧名 Gallium) などのさまざまな脅威アクターが、この地域の電気通信サービス プロバイダーに対する攻撃に関連付けられてきました。

Zaib
September 21, 2023
Computer Security
日本語
September 21, 2023
Computer Security

人気の投稿

マイクロソフト、国家支援の攻撃者が攻撃に AI を使用していると警告

5 days年前

トロイの木馬 Al11 マルウェアの検出

11 months年前

「あなたの iCloud がハッキングされています」および「あなたの iPhone がハッキングされています」ポップアップ

7 months年前

Pinaview はフル機能のアドウェア アプリです

10 months年前

Lucky ランサムウェアとは何ですか?

7 months年前

「American Express - アカウント情報の更新」電子メール詐欺

6 months年前
日本語
読み込み中...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

ホーム

製品

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

サポート

ヘルプファイル よくある質問 Downloads Inquiries & Support

会社

私たちに関しては Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service 個人情報保護方針 クッキーポリシー Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windowsは、Microsoftの商標であり、米国およびその他の国で登録されています。
Mac、iPhone、iPad、およびApp Storeは、米国およびその他の国で登録されたAppleInc。の商標です。
iOSは、Cisco Systems、Inc。および/またはその関連会社の米国およびその他の国における登録商標です。
AndroidおよびGooglePlayは、GoogleLLCの商標です。