Нови зловредни програми, наречени HTTPSnoop и PipeSnoop, се използват при кибератаки срещу доставчици на телекомуникационни услуги в Близкия изток, като позволяват на участниците в заплахата да изпълняват команди от разстояние на заразените устройства.
Зловредният софтуер HTTPSnoop се свързва с драйверите и устройствата на ядрото на Windows HTTP, за да изпълнява съдържание на заразената крайна точка въз основа на конкретни HTTP(S) URL адреси, а PipeSnoop приема и изпълнява произволен шел код от назован канал.
Според доклад на Cisco Talos двата импланта принадлежат към един и същ набор за проникване, наречен „ShroudedSnooper“, но обслужват различни оперативни цели по отношение на нивото на проникване.
И двата импланта са маскирани като компоненти за сигурност на продукта Cortex XDR на Palo Alto Networks, за да избегнат откриване.
HTTPSnoop използва API на Windows на ниско ниво, за да следи HTTP(S) трафика на заразено устройство за определени URL адреси. Когато бъде открит, зловредният софтуер декодира входящите base64-кодирани данни от тези URL адреси и ги изпълнява като шел код на компрометирания хост.
Имплантът, който се активира в целевата система чрез отвличане на DLL, се състои от два компонента: шелкод на етап 2, който настройва уеб сървър със задна врата чрез повиквания към ядрото и неговата конфигурация.
HTTPSnoop установява цикъл на слушане, който чака входящи HTTP заявки и обработва валидни данни при пристигането им; в противен случай връща HTTP 302 пренасочване.
Полученият шелкод се декриптира и изпълнява, а резултатът от изпълнението се връща на нападателите като base64-енкодирани XOR-енкодирани блобове.
Имплантът също така гарантира, че няма сблъсък на URL адреси с предварително конфигурирани URL адреси на сървъра.
Cisco е наблюдавала три варианта на HTTPSnoop, като всеки от тях използва различни модели за слушане на URL адреси. Първият слуша за общи HTTP заявки, базирани на URL, вторият – за URL адреси, имитиращи Microsoft Exchange Web Service, а третият – за URL адреси, имитиращи LBS/OfficeTrack и приложения за телефония на OfficeCore.
Тези варианти бяха подбрани в периода между 17 април и 29 април 2023 г., като най-новият има най-малък брой URL адреси, които слуша, вероятно за по-голяма скритост.
Имитирането на легитимни модели на URL адреси от Microsoft Exchange Web Services и OfficeTrack прави злонамерените заявки почти неразличими от доброкачествения трафик.
Cisco за първи път забелязва импланта PipeSnoop през май 2023 г., който действа като задна врата, изпълняваща полезни товари с шел код на пробити крайни точки чрез IPC (Inter-Process Communication) тръби на Windows.
Анализаторите отбелязват, че за разлика от HTTPSnoop, който изглежда е насочен към публично достъпни сървъри, PipeSnoop е по-подходящ за операции дълбоко в компрометираните мрежи.
Cisco също така отбелязва, че имплантът се нуждае от компонент, който доставя шелкода. Нейните анализатори обаче не са успели да го идентифицират.
Доставчиците на телекомуникационни услуги често стават мишена на спонсорирани от държави заплахи поради решаващата им роля в управлението на критичната инфраструктура и предаването на изключително чувствителна информация по мрежите.
Неотдавнашното нарастване на броя на държавно спонсорираните атаки срещу телекомуникационни структури подчертава спешната необходимост от засилени мерки за сигурност и международно сътрудничество за тяхната защита.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.