Вредоносное ПО HTTPSnoop нацелено на Ближний Восток

На Ближнем Востоке поставщики телекоммуникационных услуг оказались в центре внимания новой операции по вторжению, известной как ShroudedSnooper. Эта операция использует скрытый бэкдор под названием HTTPSnoop.

Согласно отчету, предоставленному The Hacker News Cisco Talos, HTTPSnoop описывается как простой, но эффективный бэкдор. Он включает в себя инновационные методы взаимодействия с драйверами и устройствами ядра HTTP Windows, что позволяет ему отслеживать входящие запросы для определенных URL-адресов HTTP(S) и выполнять связанный контент на зараженной конечной точке.

Кроме того, у злоумышленника есть еще один имплант под названием PipeSnoop. Этот имплант под кодовым названием PipeSnoop способен принимать произвольный шелл-код через именованный канал и выполнять его на скомпрометированной конечной точке.

Предполагается, что ShroudedSnooper нацелен на серверы с выходом в Интернет и развертывает HTTPSnoop для получения первоначального доступа к целевым средам. Оба этих штамма вредоносного ПО маскируются под компоненты приложения Cortex XDR компании Palo Alto Networks, в частности «CyveraConsole.exe», в попытке избежать обнаружения.

HTTPSnoop доступен в разных вариантах

На сегодняшний день идентифицированы три различных варианта HTTPSnoop. Вредоносное ПО использует низкоуровневые API-интерфейсы Windows для отслеживания входящих запросов, соответствующих предопределенным шаблонам URL-адресов. Затем он извлекает шеллкод, который впоследствии выполняется на хосте.

Эти URL-адреса HTTP имитируют URL-адреса, связанные с веб-службами Microsoft Exchange, OfficeTrack и службами подготовки, связанными с израильской телекоммуникационной компанией. Это сделано для того, чтобы вредоносные запросы выглядели почти идентично легитимному трафику.

Исследователи Talos отметили, что URL-адреса HTTP, используемые HTTPSnoop, а также его привязка к встроенному веб-серверу Windows, позволяют предположить, что он, вероятно, был разработан для работы на доступных в Интернете веб-серверах и серверах EWS. Напротив, PipeSnoop, как следует из его названия, считывает и записывает данные в и из канала Windows IPC для функций ввода-вывода (I/O).

Это указывает на то, что PipeSnoop, вероятно, предназначен для использования в скомпрометированной корпоративной среде, а не на общедоступных серверах, таких как HTTPSnoop. Вероятно, он предназначен для атак на конечные точки, которые операторы вредоносных программ считают более ценными или высокоприоритетными.

Характер вредоносного ПО предполагает, что PipeSnoop не может функционировать как автономный имплант и требует, чтобы вспомогательный компонент выполнял роль сервера для получения шеллкода альтернативными методами и передачи его через именованный канал в бэкдор.

Нацеливание на телекоммуникационный сектор, особенно на Ближнем Востоке, в последние годы стало повторяющейся тенденцией. Различные субъекты угроз, в том числе Lebanese Cedar, MuddyWater (также известный как Seedworm), BackdoorDiplomacy, WIP26 и Granite Typhoon (ранее Gallium), были связаны с атаками на поставщиков телекоммуникационных услуг в регионе за последний год.