Търсене
Close this search box.

Нови зловредни програми, наречени HTTPSnoop и PipeSnoop, се използват при кибератаки срещу доставчици на телекомуникационни услуги в Близкия изток, като позволяват на участниците в заплахата да изпълняват команди от разстояние на заразените устройства.

Зловредният софтуер HTTPSnoop се свързва с драйверите и устройствата на ядрото на Windows HTTP, за да изпълнява съдържание на заразената крайна точка въз основа на конкретни HTTP(S) URL адреси, а PipeSnoop приема и изпълнява произволен шел код от назован канал.

Според доклад на Cisco Talos двата импланта принадлежат към един и същ набор за проникване, наречен „ShroudedSnooper“, но обслужват различни оперативни цели по отношение на нивото на проникване.

И двата импланта са маскирани като компоненти за сигурност на продукта Cortex XDR на Palo Alto Networks, за да избегнат откриване.

HTTPSnoop

HTTPSnoop използва API на Windows на ниско ниво, за да следи HTTP(S) трафика на заразено устройство за определени URL адреси. Когато бъде открит, зловредният софтуер декодира входящите base64-кодирани данни от тези URL адреси и ги изпълнява като шел код на компрометирания хост.

Имплантът, който се активира в целевата система чрез отвличане на DLL, се състои от два компонента: шелкод на етап 2, който настройва уеб сървър със задна врата чрез повиквания към ядрото и неговата конфигурация.

HTTPSnoop установява цикъл на слушане, който чака входящи HTTP заявки и обработва валидни данни при пристигането им; в противен случай връща HTTP 302 пренасочване.

Полученият шелкод се декриптира и изпълнява, а резултатът от изпълнението се връща на нападателите като base64-енкодирани XOR-енкодирани блобове.

Имплантът също така гарантира, че няма сблъсък на URL адреси с предварително конфигурирани URL адреси на сървъра.

Cisco е наблюдавала три варианта на HTTPSnoop, като всеки от тях използва различни модели за слушане на URL адреси. Първият слуша за общи HTTP заявки, базирани на URL, вторият – за URL адреси, имитиращи Microsoft Exchange Web Service, а третият – за URL адреси, имитиращи LBS/OfficeTrack и приложения за телефония на OfficeCore.

Тези варианти бяха подбрани в периода между 17 април и 29 април 2023 г., като най-новият има най-малък брой URL адреси, които слуша, вероятно за по-голяма скритост.

Имитирането на легитимни модели на URL адреси от Microsoft Exchange Web Services и OfficeTrack прави злонамерените заявки почти неразличими от доброкачествения трафик.

PipeSnoop

Cisco за първи път забелязва импланта PipeSnoop през май 2023 г., който действа като задна врата, изпълняваща полезни товари с шел код на пробити крайни точки чрез IPC (Inter-Process Communication) тръби на Windows.

Анализаторите отбелязват, че за разлика от HTTPSnoop, който изглежда е насочен към публично достъпни сървъри, PipeSnoop е по-подходящ за операции дълбоко в компрометираните мрежи.

Cisco също така отбелязва, че имплантът се нуждае от компонент, който доставя шелкода. Нейните анализатори обаче не са успели да го идентифицират.

Доставчиците на телекомуникационни услуги често стават мишена на спонсорирани от държави заплахи поради решаващата им роля в управлението на критичната инфраструктура и предаването на изключително чувствителна информация по мрежите.

Неотдавнашното нарастване на броя на държавно спонсорираните атаки срещу телекомуникационни структури подчертава спешната необходимост от засилени мерки за сигурност и международно сътрудничество за тяхната защита.

Източник: e-security.bg

Подобни публикации

11 октомври 2024

Новата актуализация на GitLab отстранява осем у...

В четвъртък (В България петък през нощта) GitLab обяви нов кръг от ...
11 октомври 2024

Атаките LotL: Предизвикателството и WatchGuard ...

В областта на киберсигурността все по-трудно се откриват атаки от т...
11 октомври 2024

Киберсигурността - стълбът за защита на нашия свят

Октомври е не само първият месец на есента, но и Месецът на киберси...
11 октомври 2024

31 милиона потребители са засегнати от хакерска...

Интернет архивът потвърди, че е бил хакнат и е претърпял нарушение ...
11 октомври 2024

LLM с изкуствен интелект, подобряващи лова на з...

Стартъпът за киберсигурност Simbian пусна на пазара три AI агента L...
11 октомври 2024

Предизвикателствата в областта на сигурността п...

Какви са приоритетите на CISO и лидерите по сигурността в сравнение...
Бъдете социални
Още по темата
08/10/2024

Защо многофакторното удосто...

Твърде крайно е да се каже,...
03/09/2024

RansomHub Ransomware Group ...

Заплахи, свързани с групата RansomHub, са...
24/08/2024

Хакерите вече използват инж...

Вълната от атаки, започнала през юли...
Последно добавени
11/10/2024

Новата актуализация на GitL...

В четвъртък (В България петък през...
11/10/2024

Атаките LotL: Предизвикател...

В областта на киберсигурността все по-трудно...
11/10/2024

Киберсигурността - стълбът ...

Октомври е не само първият месец...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!