Νέο
κακόβουλο λογισμικό
με το όνομα HTTPSnoop και PipeSnoop χρησιμοποιούνται σε επιθέσεις στον
κυβερνοχώρο
σε παρόχους τηλεπικοινωνιακών υπηρεσιών στη Μέση Ανατολή, επιτρέποντας στους φορείς απειλών να εκτελούν εξ αποστάσεως εντολές σε μολυσμένες συσκευές.
Το κακόβουλο λογισμικό HTTPSnoop διασυνδέεται με προγράμματα
οδήγηση
ς και συσκευές του πυρήνα HTTP των Windows για την εκτέλεση περιεχομένου στο μολυσμένο τελικό σημείο με βάση συγκεκριμένες διευθύνσεις URL HTTP(S) και το PipeSnoop δέχεται και εκτελεί αυθαίρετο κώδικα φλοιού από έναν επώνυμο σωλήνα.
Σύμφωνα με
μια αναφορά του Cisco Talos
τα δύο εμφυτεύματα ανήκουν στο ίδιο σύνολο εισβολής που ονομάζεται «ShroudedSnooper», αλλά εξυπηρετούν διαφορετικούς λειτουργικούς στόχους όσον αφορά το επίπεδο διείσδυσης.
Και τα δύο εμφυτεύματα μεταμφιέζονται ως εξαρτήματα ασφαλείας του προϊόντος Palo Alto Networks Cortex XDR για αποφυγή ανίχνευσης.
Ψεύτικες πληροφορίες Cortex XDR
(Cisco)
HTTPSnoop
Το HTTPSnoop χρησιμοποιεί χαμηλού επιπέδου Windows API για την παρακολούθηση της κυκλοφορίας HTTP(S) σε μια μολυσμένη συσκευή για συγκεκριμένες διευθύνσεις URL. Όταν εντοπιστεί, το κακόβουλο λογισμικό θα αποκωδικοποιήσει τα εισερχόμενα δεδομένα με κωδικοποίηση base64 από αυτές τις διευθύνσεις URL και θα το εκτελέσει ως shellcode στον παραβιασμένο κεντρικό υπολογιστή.
Το εμφύτευμα, το οποίο ενεργοποιείται στο σύστημα προορισμού μέσω της πειρατείας DLL, αποτελείται από δύο στοιχεία: τον shellcode σταδίου 2 που δημιουργεί έναν διακομιστή web backdoor μέσω κλήσεων πυρήνα και τη διαμόρφωσή του.
Το HTTPSnoop δημιουργεί έναν βρόχο ακρόασης που περιμένει τα εισερχόμενα αιτήματα HTTP και επεξεργάζεται έγκυρα δεδομένα κατά την άφιξη. Διαφορετικά, επιστρέφει μια ανακατεύθυνση HTTP 302.
Ο λαμβανόμενος κώδικας φλοιού απο
κρυπτο
γραφείται και εκτελείται και το αποτέλεσμα της εκτέλεσης επιστρέφεται στους εισβολείς ως blobs με κωδικοποίηση βάσης 64 με κωδικοποίηση XOR.
Το εμφύτευμα διασφαλίζει επίσης ότι δεν υπάρχει σύγκρουση διεύθυνσης URL με προηγουμένως διαμορφωμένες διευθύνσεις URL στο διακομιστή.
Η Cisco έχει δει τρεις παραλλαγές του HTTPSnoop, καθεμία από τις οποίες χρησιμοποιεί διαφορετικά μοτίβα ακρόασης URL. Η πρώτη ακρόαση για γενικά αιτήματα που βασίζονται σε URL HTTP, η δεύτερη για διευθύνσεις URL που μιμούνται την υπηρεσία Web του Microsoft Exchange και η τρίτη για διευθύνσεις URL που προσομοιώνουν τις εφαρμογές LBS/OfficeTrack και τηλεφωνίας του OfficeCore.
Αυτές οι παραλλαγές λήφθηκαν δειγματοληπτικά μεταξύ 17 Απριλίου και 29 Απριλίου
2023
, με την πιο πρόσφατη να έχει τον μικρότερο αριθμό URL που ακούει, πιθανότατα για αυξημένη μυστικότητα.
Η μίμηση νόμιμων μοτίβων διευθύνσεων URL από τις Υπηρεσίες Ιστού του Microsoft Exchange και το OfficeTrack καθιστά τα κακόβουλα αιτήματα σχεδόν αδιάκριτα από την καλοήθη κίνηση.
Διευθύνσεις URL Το HTTPSnoop έχει διαμορφωθεί για ακρόαση
(Cisco)
PipeSnoop
Η Cisco εντόπισε για πρώτη φορά το εμφύτευμα PipeSnoop τον Μάιο του 2023, λειτουργώντας ως κερκόπορτα που εκτελεί ωφέλιμα φορτία κελύφους σε παραβιασμένα τελικά σημεία μέσω των σωλήνων IPC των Windows (Inter-Process Communication).
Οι αναλυτές σημειώνουν ότι σε αντίθεση με το HTTPSnoop, το οποίο φαίνεται να στοχεύει διακομιστές που αντιμετωπίζουν δημόσια, το PipeSnoop είναι πιο κατάλληλο για λειτουργίες βαθιά μέσα σε παραβιασμένα δίκτυα.
Η Cisco σημειώνει επίσης ότι το εμφύτευμα χρειάζεται ένα εξάρτημα που παρέχει τον κώδικα του κελύφους. Ωστόσο, οι αναλυτές του δεν κατάφεραν να το αναγνωρίσουν.
Οι πάροχοι τηλεπικοινωνιακών υπηρεσιών γίνονται συχνά στόχοι φορέων απειλών που χρηματοδοτούνται από το κράτος λόγω του κρίσιμου ρόλου τους στη λειτουργία υποδομών ζωτικής σημασίας και στη μετάδοση εξαιρετικά ευαίσθητων πληροφοριών μέσω δικτύων.
Η πρόσφατη αύξηση των κρατικών επιθέσεων κατά οντοτήτων τηλεπικοινωνιών υπογραμμίζει την επείγουσα ανάγκη για ενισχυμένα μέτρα ασφαλείας και διεθνή συνεργασία για τη διασφάλισή τους.