Malware HTTPSnoop tem como alvo o Oriente Médio

No Médio Oriente, os prestadores de serviços de telecomunicações tornaram-se o foco de uma nova operação de intrusão conhecida como ShroudedSnooper. Esta operação utiliza um backdoor secreto chamado HTTPSnoop.

De acordo com um relatório compartilhado com The Hacker News pela Cisco Talos, HTTPSnoop é descrito como um backdoor simples, mas eficiente. Ele incorpora técnicas inovadoras para interagir com drivers e dispositivos do kernel HTTP do Windows, permitindo monitorar solicitações recebidas para URLs HTTP(S) específicos e executar o conteúdo associado no endpoint infectado.

Além disso, o autor da ameaça possui outro implante chamado PipeSnoop. Este implante, codinome PipeSnoop, é capaz de aceitar shellcode arbitrário por meio de um pipe nomeado e executá-lo no endpoint comprometido.

Suspeita-se que o ShroudedSnooper tenha como alvo servidores voltados para a Internet e implemente HTTPSnoop para obter acesso inicial aos ambientes de destino. Ambas as cepas de malware se disfarçam como componentes do aplicativo Cortex XDR da Palo Alto Networks, especificamente “CyveraConsole.exe”, em uma tentativa de evitar a detecção.

HTTPSnoop vem em diferentes sabores

Até o momento, três variantes diferentes do HTTPSnoop foram identificadas. O malware depende de APIs de baixo nível do Windows para monitorar solicitações recebidas que correspondam a padrões de URL predefinidos. Em seguida, ele extrai o shellcode, que é posteriormente executado no host.

Esses URLs HTTP imitam aqueles associados ao Microsoft Exchange Web Services, OfficeTrack e serviços de provisionamento vinculados a uma empresa de telecomunicações israelense. Isso é feito em um esforço para fazer com que as solicitações maliciosas pareçam quase idênticas ao tráfego legítimo.

Os pesquisadores do Talos observaram que os URLs HTTP usados pelo HTTPSnoop, juntamente com sua ligação ao servidor web integrado do Windows, sugerem que ele provavelmente foi projetado para operar em servidores web e EWS expostos à Internet. Em contraste, PipeSnoop, como seu nome indica, lê e grava dados de e para um canal IPC do Windows para funções de entrada/saída (E/S).

Isso indica que o PipeSnoop provavelmente se destina ao uso em um ambiente corporativo comprometido, em vez de servidores públicos como o HTTPSnoop. Provavelmente se destina a atingir endpoints que os operadores de malware consideram mais valiosos ou de alta prioridade.

A natureza do malware sugere que o PipeSnoop não pode funcionar como um implante independente e requer um componente auxiliar para atuar como um servidor para obter o shellcode por meio de métodos alternativos e passá-lo através do pipe nomeado para o backdoor.

Visar o sector das telecomunicações, especialmente no Médio Oriente, tornou-se uma tendência recorrente nos últimos anos. Vários atores de ameaças, incluindo Lebanese Cedar, MuddyWater (também conhecido como Seedworm), BackdoorDiplomacy, WIP26 e Granite Typhoon (anteriormente Gallium), foram associados a ataques a prestadores de serviços de telecomunicações na região durante o ano passado.