Carding
Professional
- Messages
- 2,871
- Reaction score
- 2,331
- Points
- 113
Поставщики телекоммуникационных услуг на Ближнем Востоке являются целью новой системы вторжений, получившей название ShroudedSnooper, которая использует скрытый бэкдор под названием HTTPSnoop.
"HTTPSnoop - это простой, но эффективный бэкдор, который состоит из новых методов взаимодействия с драйверами ядра Windows HTTP и устройствами для прослушивания входящих запросов по определенным URL-адресам HTTP (ов) и выполнения этого содержимого на зараженной конечной точке", - сказал Cisco Талос в отчете, опубликованном в Hacker News.
Также частью арсенала злоумышленника является дочерний имплантат под кодовым названием PipeSnoop, который может принимать произвольный шелл-код из именованного канала и выполнять его на зараженной конечной точке.
Предполагается, что ShroudedSnooper использует серверы, выходящие в Интернет, и развертывает HTTPSnoop для получения начального доступа к целевым средам, причем оба вида вредоносных программ выдают себя за компоненты приложения Cortex XDR от Palo Alto Networks ("CyveraConsole.exe"), чтобы оставаться незамеченным.
На сегодняшний день обнаружено три разных варианта HTTPSnoop. Вредоносная программа использует низкоуровневые API Windows для прослушивания входящих запросов, соответствующих предопределенным шаблонам URL, которые затем используются для извлечения шелл-кода для выполнения на хосте.
Эти HTTP-адреса имитируют веб-службы Microsoft Exchange, OfficeTrack и службы подготовки, связанные с израильской телекоммуникационной компанией, в попытке сделать вредоносные запросы почти неотличимыми от безопасного трафика.
"HTTP-URL, используемые HTTPSnoop, а также привязка к встроенному веб-серверу Windows указывают на то, что он, вероятно, был разработан для работы на открытых для Интернета веб-серверах и серверах EWS", - сказали исследователи Talos. "Однако PipeSnoop, как можно предположить из названия, считывает данные в канал Windows IPC и обратно для своих возможностей ввода-вывода (I / O)".
"Это говорит о том, что имплантат, вероятно, предназначен для дальнейшего функционирования на скомпрометированном предприятии – вместо общедоступных серверов, таких как HTTPSnoop, — и, вероятно, предназначен для использования против конечных точек, которые операторы вредоносного ПО считают более ценными или высокоприоритетными".
Характер вредоносного ПО указывает на то, что PipeSnoop не может функционировать как автономный имплантат и что ему требуется вспомогательный компонент, который действует как сервер для получения шелл-кода другими способами и использует именованный канал для передачи его бэкдору.
В январе 2021 года ClearSky раскрыл серию атак, организованных Lebanese Cedar и направленных против операторов связи в США, Великобритании и Ближневосточной Азии. Позже в декабре того же года Symantec, принадлежащая Broadcom, пролила свет на шпионскую кампанию, нацеленную на операторов связи на Ближнем Востоке и в Азии вероятным субъектом иранской угрозы, известным как МаддиВотер (он же Seedworm).
Другим враждебным группам, отслеживаемым под псевдонимами BackdoorDiplomacy, WIP26 и Granite Typhoon (ранее Gallium), также приписывались атаки на поставщиков телекоммуникационных услуг в регионе за последний год.
"Телекоммуникационные организации имеют огромный доступ к интернет-трафику, как розничному, так и корпоративному", - заявили исследователи Talos. "Кроме того, большая часть телекоммуникационной инфраструктуры часто включает магистральные сети, которые имеют решающее значение для установления соединения как внутри стран, так и за их пределами, и поэтому имеют высокую ценность для групп, спонсируемых государством".
(После публикации статья была обновлена, чтобы включить ответы исследователей Cisco Talos.)
"HTTPSnoop - это простой, но эффективный бэкдор, который состоит из новых методов взаимодействия с драйверами ядра Windows HTTP и устройствами для прослушивания входящих запросов по определенным URL-адресам HTTP (ов) и выполнения этого содержимого на зараженной конечной точке", - сказал Cisco Талос в отчете, опубликованном в Hacker News.
Также частью арсенала злоумышленника является дочерний имплантат под кодовым названием PipeSnoop, который может принимать произвольный шелл-код из именованного канала и выполнять его на зараженной конечной точке.
Предполагается, что ShroudedSnooper использует серверы, выходящие в Интернет, и развертывает HTTPSnoop для получения начального доступа к целевым средам, причем оба вида вредоносных программ выдают себя за компоненты приложения Cortex XDR от Palo Alto Networks ("CyveraConsole.exe"), чтобы оставаться незамеченным.
На сегодняшний день обнаружено три разных варианта HTTPSnoop. Вредоносная программа использует низкоуровневые API Windows для прослушивания входящих запросов, соответствующих предопределенным шаблонам URL, которые затем используются для извлечения шелл-кода для выполнения на хосте.
Эти HTTP-адреса имитируют веб-службы Microsoft Exchange, OfficeTrack и службы подготовки, связанные с израильской телекоммуникационной компанией, в попытке сделать вредоносные запросы почти неотличимыми от безопасного трафика.
"HTTP-URL, используемые HTTPSnoop, а также привязка к встроенному веб-серверу Windows указывают на то, что он, вероятно, был разработан для работы на открытых для Интернета веб-серверах и серверах EWS", - сказали исследователи Talos. "Однако PipeSnoop, как можно предположить из названия, считывает данные в канал Windows IPC и обратно для своих возможностей ввода-вывода (I / O)".
"Это говорит о том, что имплантат, вероятно, предназначен для дальнейшего функционирования на скомпрометированном предприятии – вместо общедоступных серверов, таких как HTTPSnoop, — и, вероятно, предназначен для использования против конечных точек, которые операторы вредоносного ПО считают более ценными или высокоприоритетными".
Характер вредоносного ПО указывает на то, что PipeSnoop не может функционировать как автономный имплантат и что ему требуется вспомогательный компонент, который действует как сервер для получения шелл-кода другими способами и использует именованный канал для передачи его бэкдору.
В январе 2021 года ClearSky раскрыл серию атак, организованных Lebanese Cedar и направленных против операторов связи в США, Великобритании и Ближневосточной Азии. Позже в декабре того же года Symantec, принадлежащая Broadcom, пролила свет на шпионскую кампанию, нацеленную на операторов связи на Ближнем Востоке и в Азии вероятным субъектом иранской угрозы, известным как МаддиВотер (он же Seedworm).
Другим враждебным группам, отслеживаемым под псевдонимами BackdoorDiplomacy, WIP26 и Granite Typhoon (ранее Gallium), также приписывались атаки на поставщиков телекоммуникационных услуг в регионе за последний год.
"Телекоммуникационные организации имеют огромный доступ к интернет-трафику, как розничному, так и корпоративному", - заявили исследователи Talos. "Кроме того, большая часть телекоммуникационной инфраструктуры часто включает магистральные сети, которые имеют решающее значение для установления соединения как внутри стран, так и за их пределами, и поэтому имеют высокую ценность для групп, спонсируемых государством".
(После публикации статья была обновлена, чтобы включить ответы исследователей Cisco Talos.)
