HTTPSnoop Malware riktar sig till Mellanöstern
I Mellanöstern har leverantörer av telekommunikationstjänster blivit fokus för en ny intrångsverksamhet känd som ShroudedSnooper. Denna operation använder en hemlig bakdörr som heter HTTPSnoop.
Enligt en rapport som delas med The Hacker News av Cisco Talos, beskrivs HTTPSnoop som en enkel men effektiv bakdörr. Den innehåller innovativa tekniker för att interagera med Windows HTTP-kärndrivrutiner och -enheter, vilket gör att den kan övervaka inkommande förfrågningar om specifika HTTP(S)-URL:er och exekvera det associerade innehållet på den infekterade slutpunkten.
Dessutom har hotaktören ett annat implantat som heter PipeSnoop. Detta implantat, med kodnamnet PipeSnoop, kan acceptera godtycklig skalkod genom en namngiven pipe och exekvera den på den komprometterade slutpunkten.
Det misstänks att ShroudedSnooper riktar sig mot internetservrar och distribuerar HTTPSnoop för att få initial åtkomst till målmiljöerna. Båda dessa skadliga stammar maskerar sig som komponenter i Palo Alto Networks Cortex XDR-applikation, specifikt "CyveraConsole.exe", i ett försök att undvika upptäckt.
HTTPSnoop finns i olika smaker
Hittills har tre olika varianter av HTTPSnoop identifierats. Skadlig programvara är beroende av Windows API:er på låg nivå för att övervaka inkommande förfrågningar som matchar fördefinierade URL-mönster. Den extraherar sedan skalkoden, som sedan exekveras på värden.
Dessa HTTP-URL:er efterliknar de som är associerade med Microsoft Exchange Web Services, OfficeTrack och provisioneringstjänster kopplade till ett israeliskt telekommunikationsföretag. Detta görs i ett försök att få de skadliga förfrågningarna att verka nästan identiska med legitim trafik.
Talos-forskare noterade att HTTP-URL:erna som används av HTTPSnoop, tillsammans med dess bindning till den inbyggda Windows-webbservern, tyder på att den troligen var designad för att fungera på internetexponerade webb- och EWS-servrar. Däremot läser och skriver PipeSnoop, enligt namnet, data till och från ett Windows IPC-rör för input/output (I/O)-funktioner.
Detta indikerar att PipeSnoop förmodligen är avsedd för användning inom en komprometterad företagsmiljö, snarare än offentliga servrar som HTTPSnoop. Den är troligen avsedd för att rikta in sig på slutpunkter som operatörerna av skadlig programvara anser vara mer värdefulla eller högprioriterade.
Skadlig programvaras natur tyder på att PipeSnoop inte kan fungera som ett fristående implantat och kräver en extra komponent för att fungera som en server för att erhålla skalkoden genom alternativa metoder och föra den genom det namngivna röret till bakdörren.
Att rikta in sig på telekommunikationssektorn, särskilt i Mellanöstern, har blivit en återkommande trend de senaste åren. Olika hotaktörer, inklusive libanesisk ceder, MuddyWater (aka Seedworm), BackdoorDiplomacy, WIP26 och Granite Typhoon (tidigare Gallium), har kopplats till attacker mot telekommunikationsleverantörer i regionen under det senaste året.
