中東を標的とした HTTPSnoop マルウェア
中東では、電気通信サービス プロバイダーが、ShroudedSnooper として知られる新たな侵入作戦の焦点となっています。この操作では、HTTPSnoop と呼ばれる秘密のバックドアが利用されます。
Cisco Talos が The Hacker News に共有したレポートによると、HTTPSnoop は単純かつ効率的なバックドアであると説明されています。 Windows HTTP カーネル ドライバーおよびデバイスと対話する革新的な技術が組み込まれており、特定の HTTP(S) URL に対する受信要求を監視し、感染したエンドポイントで関連コンテンツを実行できます。
さらに、脅威アクターは PipeSnoop と呼ばれる別のインプラントを所有しています。 PipeSnoop というコードネームで呼ばれるこのインプラントは、名前付きパイプを通じて任意のシェルコードを受け入れ、侵害されたエンドポイントで実行することができます。
ShroudedSnooper はインターネットに接続されたサーバーをターゲットにし、HTTPSnoop を展開してターゲット環境への初期アクセスを取得している疑いがあります。これらのマルウェア株は両方とも、検出を回避するために、パロアルトネットワークスの Cortex XDR アプリケーション、具体的には「CyveraConsole.exe」のコンポーネントを装います。
HTTPSnoop にはさまざまな種類があります
現在までに、HTTPSnoop の 3 つの異なる亜種が確認されています。このマルウェアは、低レベルの Windows API を利用して、事前定義された URL パターンに一致する受信リクエストを監視します。次に、シェルコードを抽出し、その後ホスト上で実行されます。
これらの HTTP URL は、Microsoft Exchange Web サービス、OfficeTrack、およびイスラエルの通信会社にリンクされたプロビジョニング サービスに関連する URL を模倣しています。これは、悪意のあるリクエストを正規のトラフィックとほぼ同一に見せかけるために行われます。
Talos の研究者は、HTTPSnoop で使用される HTTP URL と、組み込みの Windows Web サーバへのバインディングから、HTTPSnoop がインターネットに公開された Web サーバおよび EWS サーバ上で動作するように設計されている可能性が高いと指摘しました。対照的に、PipeSnoop は、その名前が示すように、入出力 (I/O) 機能のために Windows IPC パイプとの間でデータを読み書きします。
これは、PipeSnoop が HTTPSnoop のような公開サーバーではなく、侵害されたエンタープライズ環境内での使用を意図している可能性があることを示しています。おそらく、マルウェア運用者がより価値がある、または優先度が高いと考えるエンドポイントをターゲットにすることを目的としています。
このマルウェアの性質から、PipeSnoop はスタンドアロンのインプラントとして機能できず、代替方法でシェルコードを取得し、名前付きパイプを介してバックドアに渡すためのサーバーとして機能する補助コンポーネントが必要であることが示唆されています。
近年、特に中東の電気通信部門を標的とする傾向が繰り返し見られます。過去 1 年間、Lebanese Cedar、MuddyWater (別名 Seedworm)、BackdoorDiplomacy、WIP26、Granite タイフーン (旧名 Gallium) などのさまざまな脅威アクターが、この地域の電気通信サービス プロバイダーに対する攻撃に関連付けられてきました。