HTTPSnoop Malware retter seg mot Midtøsten

I Midtøsten har telekommunikasjonstjenesteleverandører blitt fokus for en ny inntrengningsoperasjon kjent som ShroudedSnooper. Denne operasjonen bruker en skjult bakdør kalt HTTPSnoop.

I følge en rapport delt med The Hacker News av Cisco Talos, beskrives HTTPSnoop som en enkel, men effektiv bakdør. Den inkorporerer innovative teknikker for å samhandle med Windows HTTP-kjernedrivere og -enheter, slik at den kan overvåke innkommende forespørsler om spesifikke HTTP(S)-URLer og utføre det tilknyttede innholdet på det infiserte endepunktet.

I tillegg har trusselskuespilleren et annet implantat kalt PipeSnoop. Dette implantatet, kodenavnet PipeSnoop, er i stand til å akseptere vilkårlig skallkode gjennom et navngitt rør og utføre det på det kompromitterte endepunktet.

Det er mistanke om at ShroudedSnooper retter seg mot internettvendte servere og distribuerer HTTPSnoop for å få første tilgang til målmiljøene. Begge disse skadevarestammene utgir seg for å være komponenter av Palo Alto Networks Cortex XDR-applikasjon, spesifikt "CyveraConsole.exe," i et forsøk på å unngå oppdagelse.

HTTPSnoop kommer i forskjellige smaker

Til dags dato har tre forskjellige varianter av HTTPSnoop blitt identifisert. Skadevaren er avhengig av Windows APIer på lavt nivå for å overvåke innkommende forespørsler som samsvarer med forhåndsdefinerte URL-mønstre. Den trekker deretter ut skallkoden, som deretter kjøres på verten.

Disse HTTP-URLene etterligner de som er knyttet til Microsoft Exchange Web Services, OfficeTrack og klargjøringstjenester knyttet til et israelsk telekommunikasjonsselskap. Dette gjøres i et forsøk på å få de ondsinnede forespørslene til å virke nesten identiske med legitim trafikk.

Talos-forskere bemerket at HTTP-URL-ene brukt av HTTPSnoop, sammen med bindingen til den innebygde Windows-webserveren, antyder at den sannsynligvis var designet for å operere på internetteksponerte web- og EWS-servere. Derimot leser og skriver PipeSnoop, som antydet av navnet, data til og fra et Windows IPC-rør for input/output (I/O)-funksjoner.

Dette indikerer at PipeSnoop sannsynligvis er ment for bruk i et kompromittert bedriftsmiljø, i stedet for offentlige servere som HTTPSnoop. Det er sannsynligvis ment for å målrette mot endepunkter som skadevareoperatørene anser som mer verdifulle eller høyprioriterte.

Naturen til skadelig programvare antyder at PipeSnoop ikke kan fungere som et frittstående implantat og krever en hjelpekomponent for å fungere som en server for å hente skallkoden gjennom alternative metoder og sende den gjennom det navngitte røret til bakdøren.

Målretting mot telekommunikasjonssektoren, spesielt i Midtøsten, har blitt en tilbakevendende trend de siste årene. Ulike trusselaktører, inkludert libanesisk Cedar, MuddyWater (aka Seedworm), BackdoorDiplomacy, WIP26 og Granite Typhoon (tidligere Gallium), har blitt koblet til angrep på telekommunikasjonsleverandører i regionen det siste året.