Οι πάροχοι τηλεπικοινωνιών στη Μέση Ανατολή είναι στόχος μιας νέας ομάδας που ονομάζεται ShroudedSnooper και χρησιμοποιεί ένα αθόρυβο backdoor με την ονομασία HTTPSnoop.
Δείτε επίσης: Auckland Transport: Η ομάδα Medusa έκλεψε δεδομένα
“Το HTTPSnoop είναι ένα απλό, αλλά αποτελεσματικό backdoor που αποτελείται από νέες τεχνικές για διασύνδεση με Windows HTTP kernel drivers και συσκευές για την ακρόαση εισερχόμενων αιτημάτων για συγκεκριμένες διευθύνσεις URL HTTP(S) και την εκτέλεση αυτού του περιεχομένου στο μολυσμένο endpoint”, δήλωσε η Cisco Talos στην αναφορά που κοινοποιήθηκε στο The Hacker News.
Επίσης, μέρος του εργαλειοθήκης της ομάδας είναι ένα sister implant με το κωδικό όνομα PipeSnoop, το οποίο μπορεί να δέχεται αυθαίρετο shellcode από ένα named pipe και να το εκτελεί στο μολυσμένο endpoint.
Ένα «νέο αστέρι» φωτίζεται στο νυχτερινό ουρανό
Mark Zuckerberg: Έγινε ο δεύτερος πλουσιότερος άνθρωπος! 💰💰
Ανακαλύψτε το Νέο Ανθρωποειδές Ρομπότ GR-2!
Δείτε επίσης: Ποιος βρίσκεται πίσω από τον ιστότοπο 8Base Ransomware;
Υποψιάζεται ότι η ομάδα ShroudedSnooper εκμεταλλεύεται servers που είναι προσβάσιμοι από το διαδίκτυο και και αναπτύσσει το HTTPSnoop για να αποκτήσει αρχική πρόσβαση σε περιβάλλοντα στόχους, με αμφότερα τα στελέχη κακόβουλου λογισμικού που μιμούνται τα components της εφαρμογής Cortex XDR της Palo Alto Networks (“CyveraConsole.exe”) για να μην εντοπιστεί.
Έως σήμερα έχουν ανιχνευθεί τρία δείγματα του HTTPSnoop. Το malware χρησιμοποιεί χαμηλού επιπέδου APIs των Windows για να παρακολουθεί εισερχόμενα αιτήματα που αντιστοιχούν σε προκαθορισμένα μοτίβα URL, τα οποία στη συνέχεια εξάγονται για να εκτελεστεί το shellcode στον host.
Η φύση του κακόβουλου λογισμικού υποδηλώνει ότι το PipeSnoop δεν μπορεί να λειτουργήσει ως αυτόνομο implant, αλλά απαιτεί έναν βοηθητικό component, το οποίο λειτουργεί ως διακομιστής για να αποκτήσει τον shellcode μέσω άλλων μεθόδων και να τον περάσει στη backdoor μέσω του named pipe.
Η στόχευση του τομέα των τηλεπικοινωνιών, ιδιαίτερα στη Μέση Ανατολή, έχει γίνει κάτι σαν pattern τα τελευταία χρόνια.
Τον Ιανουάριο του 2021, η ClearSky αποκάλυψε μια σειρά επιθέσεων που οργανώθηκαν από την Lebanese Cedar και είχαν ως στόχο τους παρόχους τηλεπικοινωνιών στις ΗΠΑ, το Ηνωμένο Βασίλειο και τη Μέση Ανατολή και την Ασία. Αργότερα, τον Δεκέμβριο, η Symantec που ανήκει στη Broadcom, έφερε στο φως μια εκστρατεία κατασκοπίας που είχε ως στόχο παρόχους τηλεπικοινωνιών στη Μέση Ανατολή και την Ασία από την ομάδα MuddyWater (επίσης γνωστή ως Seedworm).
Δείτε επίσης: 6 Ενέργειες που πρέπει να κάνουν οι CEO κατά τη διάρκεια μιας κυβερνοεπίθεσης
Άλλες ομάδες που παρακολουθούνται με τα προσωνύμια BackdoorDiplomacy, WIP26 και Granite Typhoon (πρώην Gallium) έχουν επίσης αποδοθεί σε επιθέσεις σε παρόχους τηλεπικοινωνιακών υπηρεσιών στην περιοχή τον περασμένο χρόνο.
Πηγή πληροφοριών: thehackernews.com