Хакеры шпионят за Ближним Востоком, маскируясь под средство защиты.
Два новых вида вредоносного ПО HTTPSnoop и PipeSnoop использовались в кибератаках на телекоммуникационные компании на Ближнем Востоке. Согласно отчету компании Cisco Talos, вредоносы принадлежат одному и тому же субъекту угроз, названному ShroudedSnooper, и служат различным операционным целям.
Оба вида вредоносного ПО маскируются под компоненты безопасности продукта Palo Alto Networks Cortex XDR для уклонения от обнаружения. Неясно, как именно ShroudedSnooper осуществляет взлом, но исследователи предполагают, что хакеры эксплуатируют уязвимые серверы, доступные через Интернет, прежде чем использовать HTTPSnoop для установления начального доступа.
HTTPSnoop: мониторинг и выполнение кода
HTTPSnoop использует низкоуровневые API Windows для прямого взаимодействия с HTTP-сервером на целевой системе. Вредонос привязывается к определенным URL-шаблонам и слушает входящие запросы. Если запрос соответствует определенному шаблону, он декодирует данные в запросе выполняет их как шелл-код на скомпрометированном хосте
Имплант активируется на целевой системе через DLL hijacking и состоит из двух компонентов: второго этапа шелл-кода, который настраивает веб-сервер с бэкдором через системные вызовы ядра, и его конфигурации. Cisco заметила три варианта HTTPSnoop, каждый из которых использует разные шаблоны прослушивания URL.
PipeSnoop: глубокое проникновение в сети
PipeSnoop действует как бэкдор, выполняющий шелл-код на скомпрометированных устройствах через механизм межпроцессного взаимодействия Windows (inter-process communication, IPC). При этом PipeSnoop больше используется для операций в глубине скомпрометированных сетей, которые операторы вредоносного ПО считают более ценными или приоритетными.
Телекоммуникационные провайдеры часто становятся целями для правительственных хакеров из-за их ключевой роли в функционировании критической инфраструктуры и обработке конфиденциальной информации. Последний всплеск подобных атак на телекоммуникационные сущности подчеркивает насущную необходимость усиления мер безопасности и международного сотрудничества для их защиты.
Источник: securitylab
