Търсене
Close this search box.

Хакери заобикалят доставчиците на телекомуникационни услуги с HTTPSnoop

Нови зловредни програми, наречени HTTPSnoop и PipeSnoop, се използват при кибератаки срещу доставчици на телекомуникационни услуги в Близкия изток, като позволяват на участниците в заплахата да изпълняват команди от разстояние на заразените устройства.

Зловредният софтуер HTTPSnoop се свързва с драйверите и устройствата на ядрото на Windows HTTP, за да изпълнява съдържание на заразената крайна точка въз основа на конкретни HTTP(S) URL адреси, а PipeSnoop приема и изпълнява произволен шел код от назован канал.

Според доклад на Cisco Talos двата импланта принадлежат към един и същ набор за проникване, наречен „ShroudedSnooper“, но обслужват различни оперативни цели по отношение на нивото на проникване.

И двата импланта са маскирани като компоненти за сигурност на продукта Cortex XDR на Palo Alto Networks, за да избегнат откриване.

HTTPSnoop

HTTPSnoop използва API на Windows на ниско ниво, за да следи HTTP(S) трафика на заразено устройство за определени URL адреси. Когато бъде открит, зловредният софтуер декодира входящите base64-кодирани данни от тези URL адреси и ги изпълнява като шел код на компрометирания хост.

Имплантът, който се активира в целевата система чрез отвличане на DLL, се състои от два компонента: шелкод на етап 2, който настройва уеб сървър със задна врата чрез повиквания към ядрото и неговата конфигурация.

HTTPSnoop установява цикъл на слушане, който чака входящи HTTP заявки и обработва валидни данни при пристигането им; в противен случай връща HTTP 302 пренасочване.

Полученият шелкод се декриптира и изпълнява, а резултатът от изпълнението се връща на нападателите като base64-енкодирани XOR-енкодирани блобове.

Имплантът също така гарантира, че няма сблъсък на URL адреси с предварително конфигурирани URL адреси на сървъра.

Cisco е наблюдавала три варианта на HTTPSnoop, като всеки от тях използва различни модели за слушане на URL адреси. Първият слуша за общи HTTP заявки, базирани на URL, вторият – за URL адреси, имитиращи Microsoft Exchange Web Service, а третият – за URL адреси, имитиращи LBS/OfficeTrack и приложения за телефония на OfficeCore.

Тези варианти бяха подбрани в периода между 17 април и 29 април 2023 г., като най-новият има най-малък брой URL адреси, които слуша, вероятно за по-голяма скритост.

Имитирането на легитимни модели на URL адреси от Microsoft Exchange Web Services и OfficeTrack прави злонамерените заявки почти неразличими от доброкачествения трафик.

PipeSnoop

Cisco за първи път забелязва импланта PipeSnoop през май 2023 г., който действа като задна врата, изпълняваща полезни товари с шел код на пробити крайни точки чрез IPC (Inter-Process Communication) тръби на Windows.

Анализаторите отбелязват, че за разлика от HTTPSnoop, който изглежда е насочен към публично достъпни сървъри, PipeSnoop е по-подходящ за операции дълбоко в компрометираните мрежи.

Cisco също така отбелязва, че имплантът се нуждае от компонент, който доставя шелкода. Нейните анализатори обаче не са успели да го идентифицират.

Доставчиците на телекомуникационни услуги често стават мишена на спонсорирани от държави заплахи поради решаващата им роля в управлението на критичната инфраструктура и предаването на изключително чувствителна информация по мрежите.

Неотдавнашното нарастване на броя на държавно спонсорираните атаки срещу телекомуникационни структури подчертава спешната необходимост от засилени мерки за сигурност и международно сътрудничество за тяхната защита.

Източник: e-security.bg

Подобни публикации

19 април 2024

Замбия арестува 77 души в операция за киберпрес...

Компанията за фалшиви телефонни центрове извършва онлайн  и други и...
18 април 2024

Платформата за фишинг LabHost е закрита от прав...

LabHost, голяма платформа за фишинг като услуга, е била затворена к...
18 април 2024

Компания за управление на киберриска набра 21 м...

В сряда компанията за риск мениджмънт CyberSaint обяви, че е набрал...
18 април 2024

Болница в Кан с 869 легла и 2100 служителя прет...

Болница „Симон Вейл“ в Кан (CHC-SV) обяви, че във вторн...
18 април 2024

Akira ransomware е събрала 42 млн. долара от ре...

Според съвместна препоръка на ФБР, CISA, Европейския център за кибе...
18 април 2024

Вариант на LockBit 3.0 генерира персонализиран,...

Изследователите на Kaspersky са открили новия вариант, след като са...
18 април 2024

Групата "Sandworm" е основното звено за киберат...

Но дори и да се е фокусирала върху това, сложната група за заплахи ...
18 април 2024

Apple предупреждава потребителите в 150 държави...

В ново уведомление за заплахи Apple посочва доставчика на Pegasus N...
17 април 2024

Приложението Copilot на Windows Server е добаве...

Microsoft твърди, че новото приложение Copilot, погрешно добавено в...
Бъдете социални
Още по темата
22/03/2024

Над 800 npm пакети с несъот...

Ново изследване откри над 800 пакета...
16/03/2024

Зловредният софтуер Ande Lo...

Заплахата, известна като Blind Eagle, е...
28/02/2024

Новата версия на IDAT loade...

Хакерска група, проследена като „UAC-0184“, е...
Последно добавени
19/04/2024

Замбия арестува 77 души в о...

Компанията за фалшиви телефонни центрове извършва...
18/04/2024

Платформата за фишинг LabHo...

LabHost, голяма платформа за фишинг като...
18/04/2024

Компания за управление на к...

В сряда компанията за риск мениджмънт...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!