HTTPSnoop-malware richt zich op het Midden-Oosten
In het Midden-Oosten zijn aanbieders van telecommunicatiediensten het middelpunt geworden van een nieuwe inbraakoperatie die bekend staat als ShroudedSnooper. Deze operatie maakt gebruik van een geheime achterdeur genaamd HTTPSnoop.
Volgens een rapport gedeeld met The Hacker News door Cisco Talos, wordt HTTPSnoop beschreven als een eenvoudige maar efficiënte achterdeur. Het bevat innovatieve technieken voor interactie met Windows HTTP-kernelstuurprogramma's en -apparaten, waardoor het inkomende verzoeken voor specifieke HTTP(S)-URL's kan monitoren en de bijbehorende inhoud op het geïnfecteerde eindpunt kan uitvoeren.
Bovendien bezit de bedreigingsacteur een ander implantaat genaamd PipeSnoop. Dit implantaat, met de codenaam PipeSnoop, kan willekeurige shellcode accepteren via een benoemde pipe en deze uitvoeren op het aangetaste eindpunt.
Er wordt vermoed dat ShroudedSnooper zich richt op internetgerichte servers en HTTPSnoop inzet om initiële toegang te krijgen tot de doelomgevingen. Beide malwaresoorten doen zich voor als componenten van de Cortex XDR-applicatie van Palo Alto Networks, met name 'CyveraConsole.exe', in een poging detectie te voorkomen.
HTTPSnoop is er in verschillende smaken
Tot nu toe zijn er drie verschillende varianten van HTTPSnoop geïdentificeerd. De malware is afhankelijk van Windows-API's op laag niveau om inkomende verzoeken te monitoren die overeenkomen met vooraf gedefinieerde URL-patronen. Vervolgens extraheert het de shellcode, die vervolgens op de host wordt uitgevoerd.
Deze HTTP-URL's bootsen de URL's na die zijn gekoppeld aan Microsoft Exchange Web Services, OfficeTrack en provisioningservices die zijn gekoppeld aan een Israëlisch telecommunicatiebedrijf. Dit wordt gedaan in een poging om de kwaadaardige verzoeken bijna identiek te laten lijken aan legitiem verkeer.
Talos-onderzoekers merkten op dat de HTTP-URL's die door HTTPSnoop worden gebruikt, samen met de binding aan de ingebouwde Windows-webserver, suggereren dat het waarschijnlijk is ontworpen om te werken op internet-blootgestelde web- en EWS-servers. PipeSnoop daarentegen leest en schrijft, zoals de naam impliceert, gegevens van en naar een Windows IPC-pijp voor invoer/uitvoer (I/O)-functies.
Dit geeft aan dat PipeSnoop waarschijnlijk bedoeld is voor gebruik binnen een gecompromitteerde bedrijfsomgeving, in plaats van openbare servers zoals HTTPSnoop. Het is waarschijnlijk bedoeld voor het targeten van eindpunten die door malware-exploitanten als waardevoller of met een hogere prioriteit worden beschouwd.
De aard van de malware suggereert dat PipeSnoop niet kan functioneren als een zelfstandig implantaat en een hulpcomponent nodig heeft die als server fungeert om de shellcode via alternatieve methoden te verkrijgen en deze via de genoemde pipe naar de achterdeur te sturen.
Het richten op de telecommunicatiesector, vooral in het Midden-Oosten, is de afgelopen jaren een terugkerende trend geworden. Verschillende bedreigingsactoren, waaronder Libanese Cedar, MuddyWater (ook bekend als Seedworm), BackdoorDiplomacy, WIP26 en Granite Typhoon (voorheen Gallium), zijn het afgelopen jaar in verband gebracht met aanvallen op telecommunicatiedienstverleners in de regio.