Novos malwares chamados HTTPSnoop e PipeSnoop estão sendo usados em ciberataques a prestadoras de serviços de telecomunicações no Oriente Médio, permitindo que atores de ameaças executem comandos remotamente em dispositivos infectados.
O malware HTTPSnoop se conecta aos drivers de kernel HTTP do Windows e aos dispositivos para executar conteúdo no endpoint infectado com base em URLs HTTP(S) específicos, e o PipeSnoop aceita e executa shellcodes arbitrários a partir de um pipe nomeado.
De acordo com um relatório da Cisco Talos, os dois implantes pertencem ao mesmo conjunto de intrusões chamado 'ShroudedSnooper', mas servem a diferentes objetivos operacionais em termos do nível de infiltração.
Ambos os implantes são disfarçados como componentes de segurança do produto Cortex XDR da Palo Alto Networks para evadir detecção.
O HTTPSnoop usa APIs de Windows de baixo nível para monitorar o tráfego HTTP(S) em um dispositivo infectado para URLs específicas.
Quando detectado, o malware decodifica os dados recebidos codificados em base64 dessas URLs e os executa como shellcode no host comprometido.
O implante, que ativa no sistema alvo via sequestro de DLL, consiste em dois componentes: o shellcode de estágio 2 que configura um servidor web de backdoor por meio de chamadas de kernel e sua configuração.
O HTTPSnoop estabelece um loop de escuta que aguarda solicitações HTTP de entrada e processa dados válidos após a chegada; caso contrário, retorna um redirecionamento HTTP 302.
O shellcode recebido é descriptografado e executado, e o resultado da execução é retornado aos atacantes como blobs codificados em XOR codificados em base64.
O implante também garante que nenhuma URL entre em conflito com URLs previamente configuradas no servidor.
A Cisco viu três variantes do HTTPSnoop, cada uma usando diferentes padrões de escuta de URL.
A primeira escuta solicitações baseadas em URL HTTP genéricas, a segunda para URLs imitando o Microsoft Exchange Web Service, e a terceira para URLs emulando os aplicativos LBS/OfficeTrack e telefonia do OfficeCore.
Essas variantes foram coletadas entre 17 e 29 de abril de 2023, com a mais recente tendo o menor número de URLs para as quais escuta, provavelmente para aumentar o sigilo.
Imitar padrões de URL legítimos dos Serviços Web do Microsoft Exchange e OfficeTrack torna as solicitações maliciosas quase indistinguíveis do tráfego benigno.
A Cisco identificou pela primeira vez o implante PipeSnoop em maio de 2023, atuando como um backdoor que executa cargas úteis de shellcode em endpoints violados por meio de pipes de Comunicação Interprocesso (IPC) do Windows.
Os analistas observam que, ao contrário do HTTPSnoop, que parece ter como alvo servidores voltados para o público, o PipeSnoop é mais adequado para operações no interior de redes comprometidas.
A Cisco também observa que o implante precisa de um componente que forneça o shellcode.
No entanto, seus analistas não conseguiram identificá-lo.
Os prestadores de serviços de telecomunicações muitas vezes se tornam alvos de atores de ameaças patrocinados pelo Estado devido ao seu papel crucial no funcionamento da infraestrutura crítica e na transmissão de informações extremamente sensíveis através de redes.
A recente onda de ataques patrocinados pelo Estado contra entidades de telecomunicações ressalta a necessidade urgente de medidas de segurança aprimoradas e cooperação internacional para protegê-las.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...