Złośliwe oprogramowanie HTTPSnoop atakuje Bliski Wschód
Na Bliskim Wschodzie dostawcy usług telekomunikacyjnych stali się celem nowej operacji włamań znanej jako ShroudedSnooper. Ta operacja wykorzystuje ukrytego backdoora o nazwie HTTPSnoop.
Według raportu udostępnionego The Hacker News przez Cisco Talos, HTTPSnoop jest opisywany jako prosty, ale skuteczny backdoor. Zawiera innowacyjne techniki interakcji ze sterownikami i urządzeniami jądra HTTP systemu Windows, umożliwiając monitorowanie przychodzących żądań dotyczących określonych adresów URL HTTP(S) i uruchamianie powiązanej zawartości na zainfekowanym punkcie końcowym.
Ponadto ugrupowanie zagrażające posiada inny implant o nazwie PipeSnoop. Implant o nazwie kodowej PipeSnoop jest w stanie akceptować dowolny kod powłoki przez nazwany potok i wykonywać go na zaatakowanym punkcie końcowym.
Podejrzewa się, że ShroudedSnooper atakuje serwery internetowe i wdraża protokół HTTPSnoop w celu uzyskania początkowego dostępu do środowisk docelowych. Obie te odmiany złośliwego oprogramowania podszywają się pod składniki aplikacji Cortex XDR firmy Palo Alto Networks, w szczególności „CyveraConsole.exe”, próbując uniknąć wykrycia.
HTTPSnoop jest dostępny w różnych wersjach
Do chwili obecnej zidentyfikowano trzy różne warianty protokołu HTTPSnoop. Szkodnik wykorzystuje niskopoziomowe interfejsy API systemu Windows do monitorowania przychodzących żądań pasujących do predefiniowanych wzorców adresów URL. Następnie wyodrębnia kod powłoki, który jest następnie wykonywany na hoście.
Te adresy URL HTTP naśladują adresy powiązane z usługami internetowymi Microsoft Exchange, OfficeTrack i usługami udostępniania powiązanymi z izraelską firmą telekomunikacyjną. Ma to na celu sprawienie, aby złośliwe żądania wyglądały niemal identycznie jak legalny ruch.
Badacze Talos zauważyli, że adresy URL HTTP używane przez HTTPSnoop, wraz z jego powiązaniem z wbudowanym serwerem internetowym Windows, sugerują, że prawdopodobnie został on zaprojektowany do działania na serwerach internetowych i EWS dostępnych w Internecie. Natomiast PipeSnoop, jak sama nazwa wskazuje, odczytuje i zapisuje dane do i z potoku IPC systemu Windows dla funkcji wejścia/wyjścia (I/O).
Oznacza to, że PipeSnoop jest prawdopodobnie przeznaczony do użytku w zagrożonym środowisku korporacyjnym, a nie na serwerach publicznych, takich jak HTTPSnoop. Prawdopodobnie jest przeznaczony do atakowania punktów końcowych, które operatorzy szkodliwego oprogramowania uważają za bardziej wartościowe lub o wysokim priorytecie.
Charakter szkodliwego oprogramowania sugeruje, że PipeSnoop nie może działać jako samodzielny implant i wymaga komponentu pomocniczego działającego jako serwer w celu uzyskania kodu powłoki alternatywnymi metodami i przekazania go przez nazwany potok do backdoora.
Celowanie w sektor telekomunikacyjny, zwłaszcza na Bliskim Wschodzie, stało się w ostatnich latach powracającym trendem. Różni ugrupowania zagrażające, w tym Lebanese Cedar, MuddyWater (znany również jako Seedworm), BackdoorDiplomacy, WIP26 i Granite Typhoon (dawniej Gallium), zostały powiązane z atakami na dostawców usług telekomunikacyjnych w regionie w zeszłym roku.