Нови зловредни програми, наречени HTTPSnoop и PipeSnoop, се използват при кибератаки срещу доставчици на телекомуникационни услуги в Близкия изток, като позволяват на участниците в заплахата да изпълняват команди от разстояние на заразените устройства.

Зловредният софтуер HTTPSnoop се свързва с драйверите и устройствата на ядрото на Windows HTTP, за да изпълнява съдържание на заразената крайна точка въз основа на конкретни HTTP(S) URL адреси, а PipeSnoop приема и изпълнява произволен шел код от назован канал.

Според доклад на Cisco Talos двата импланта принадлежат към един и същ набор за проникване, наречен „ShroudedSnooper“, но обслужват различни оперативни цели по отношение на нивото на проникване.

И двата импланта са маскирани като компоненти за сигурност на продукта Cortex XDR на Palo Alto Networks, за да избегнат откриване.

HTTPSnoop

HTTPSnoop използва API на Windows на ниско ниво, за да следи HTTP(S) трафика на заразено устройство за определени URL адреси. Когато бъде открит, зловредният софтуер декодира входящите base64-кодирани данни от тези URL адреси и ги изпълнява като шел код на компрометирания хост.

Имплантът, който се активира в целевата система чрез отвличане на DLL, се състои от два компонента: шелкод на етап 2, който настройва уеб сървър със задна врата чрез повиквания към ядрото и неговата конфигурация.

HTTPSnoop установява цикъл на слушане, който чака входящи HTTP заявки и обработва валидни данни при пристигането им; в противен случай връща HTTP 302 пренасочване.

Полученият шелкод се декриптира и изпълнява, а резултатът от изпълнението се връща на нападателите като base64-енкодирани XOR-енкодирани блобове.

Имплантът също така гарантира, че няма сблъсък на URL адреси с предварително конфигурирани URL адреси на сървъра.

Cisco е наблюдавала три варианта на HTTPSnoop, като всеки от тях използва различни модели за слушане на URL адреси. Първият слуша за общи HTTP заявки, базирани на URL, вторият – за URL адреси, имитиращи Microsoft Exchange Web Service, а третият – за URL адреси, имитиращи LBS/OfficeTrack и приложения за телефония на OfficeCore.

Тези варианти бяха подбрани в периода между 17 април и 29 април 2023 г., като най-новият има най-малък брой URL адреси, които слуша, вероятно за по-голяма скритост.

Имитирането на легитимни модели на URL адреси от Microsoft Exchange Web Services и OfficeTrack прави злонамерените заявки почти неразличими от доброкачествения трафик.

PipeSnoop

Cisco за първи път забелязва импланта PipeSnoop през май 2023 г., който действа като задна врата, изпълняваща полезни товари с шел код на пробити крайни точки чрез IPC (Inter-Process Communication) тръби на Windows.

Анализаторите отбелязват, че за разлика от HTTPSnoop, който изглежда е насочен към публично достъпни сървъри, PipeSnoop е по-подходящ за операции дълбоко в компрометираните мрежи.

Cisco също така отбелязва, че имплантът се нуждае от компонент, който доставя шелкода. Нейните анализатори обаче не са успели да го идентифицират.

Доставчиците на телекомуникационни услуги често стават мишена на спонсорирани от държави заплахи поради решаващата им роля в управлението на критичната инфраструктура и предаването на изключително чувствителна информация по мрежите.

Неотдавнашното нарастване на броя на държавно спонсорираните атаки срещу телекомуникационни структури подчертава спешната необходимост от засилени мерки за сигурност и международно сътрудничество за тяхната защита.