HTTPSnoop kenkėjiška programa skirta Artimiesiems Rytams

Artimuosiuose Rytuose telekomunikacijų paslaugų teikėjai tapo naujos įsibrovimo operacijos, žinomos kaip ShroudedSnooper, dėmesio centre. Ši operacija naudoja slaptas galines duris, vadinamas HTTPSnoop.

Remiantis „Cisco Talos“ su „The Hacker News“ pateikta ataskaita, HTTPSnoop apibūdinamas kaip paprastas, bet efektyvus užpakalinis durelis. Ji apima novatoriškus sąveikos su Windows HTTP branduolio tvarkyklėmis ir įrenginiais metodus, leidžiančius stebėti gaunamas konkrečių HTTP(S) URL užklausas ir vykdyti susijusį turinį užkrėstame galiniame taške.

Be to, grėsmės veikėjas turi kitą implantą, vadinamą PipeSnoop. Šis implantas, kodiniu pavadinimu PipeSnoop, gali priimti savavališką apvalkalo kodą per pavadintą vamzdį ir vykdyti jį pažeistame galutiniame taške.

Įtariama, kad „ShroudedSnooper“ taikosi į internetą nukreiptus serverius ir diegia HTTPSnoop, kad gautų pradinę prieigą prie tikslinės aplinkos. Abu šie kenkėjiškų programų atmainai slepiasi kaip „Palo Alto Networks“ „Cortex XDR“ programos komponentai, konkrečiai „CyveraConsole.exe“, siekiant išvengti aptikimo.

HTTPSnoop yra įvairių skonių

Iki šiol buvo nustatyti trys skirtingi HTTPSnoop variantai. Kenkėjiška programa remiasi žemo lygio Windows API, kad galėtų stebėti gaunamas užklausas, atitinkančias iš anksto nustatytus URL šablonus. Tada jis ištraukia apvalkalo kodą, kuris vėliau vykdomas pagrindiniame kompiuteryje.

Šie HTTP URL atkartoja tuos, kurie yra susiję su „Microsoft Exchange Web Services“, „OfficeTrack“ ir paslaugų teikimo paslaugomis, susietomis su Izraelio telekomunikacijų įmone. Tai daroma siekiant, kad kenkėjiškos užklausos atrodytų beveik identiškos teisėtam srautui.

Talos tyrėjai pažymėjo, kad HTTPSnoop naudojami HTTP URL, kartu su jo susiejimu su integruotu Windows žiniatinklio serveriu, rodo, kad jis greičiausiai buvo sukurtas veikti interneto ir EWS serveriuose. Priešingai, PipeSnoop, kaip rodo jo pavadinimas, nuskaito ir įrašo duomenis į Windows IPC vamzdį ir iš jo, kad galėtų atlikti įvesties/išvesties (I/O) funkcijas.

Tai rodo, kad „PipeSnoop“ tikriausiai yra skirtas naudoti pažeistoje įmonės aplinkoje, o ne viešuosiuose serveriuose, pvz., HTTPSnoop. Tikėtina, kad jis skirtas nukreipti į galinius taškus, kuriuos kenkėjiškų programų operatoriai laiko vertingesniais arba svarbesniais.

Kenkėjiškos programos pobūdis rodo, kad „PipeSnoop“ negali veikti kaip atskiras implantas ir reikalingas pagalbinis komponentas, kuris veiktų kaip serveris, norint gauti apvalkalo kodą alternatyviais metodais ir perduoti jį per pavadintą vamzdį į užpakalines duris.

Nukreipimas į telekomunikacijų sektorių, ypač Artimuosiuose Rytuose, pastaraisiais metais tapo pasikartojančia tendencija. Įvairūs grėsmės veikėjai, įskaitant Libano Cedar, MuddyWater (dar žinomas kaip Seedworm), BackdoorDiplomacy, WIP26 ir Granite Typhoon (anksčiau Gallium), buvo susiję su išpuoliais prieš telekomunikacijų paslaugų teikėjus regione per pastaruosius metus.