Orta Doğu’daki telekomünikasyon hizmet sağlayıcıları, “Yeni Bir Saldırı Grubunun Hedefi” ÖrtülüSnooper HTTPSnoop adı verilen gizli bir arka kapı kullanıyor.
Cisco Talos, “HTTPSnoop, belirli HTTP(S) URL’leri için gelen istekleri dinlemek ve bu içeriği virüslü uç noktada yürütmek üzere Windows HTTP çekirdek sürücüleri ve aygıtlarıyla arayüz oluşturmak için yeni tekniklerden oluşan basit ama etkili bir arka kapıdır.” söz konusu The Hacker News ile paylaşılan bir raporda.
Ayrıca tehdit aktörünün cephaneliği arasında, herhangi bir cihazdan rastgele kabuk kodunu kabul edebilen PipeSnoop kod adlı kardeş implant da yer alıyor. adlandırılmış boru ve bunu virüslü uç noktada yürütün.
ShroudedSnooper’ın internete bakan sunucuları kullandığından ve hedef ortamlara ilk erişim sağlamak için HTTPSnoop’u dağıttığından şüpheleniliyor; her iki kötü amaçlı yazılım türü de Palo Alto Networks’ün Cortex XDR uygulamasının bileşenlerini taklit ediyor (“CyveraConsole.exe“) radarın altından uçmak için.
Bugüne kadar üç farklı HTTPSnoop örneği tespit edildi. Kötü amaçlı yazılım, önceden tanımlanmış URL modelleriyle eşleşen gelen istekleri dinlemek için düşük düzeyli Windows API’lerini kullanıyor ve bunlar daha sonra ana bilgisayarda yürütülecek kabuk kodunu çıkarmak için alınıyor.
Talos araştırmacıları, “HTTPSnoop tarafından kullanılan HTTP URL’leri ve yerleşik Windows web sunucusuna bağlanma, bunun muhtemelen internete açık web ve EWS sunucularında çalışmak üzere tasarlandığını gösteriyor” dedi. “Ancak PipeSnoop, adından da anlaşılacağı gibi, giriş/çıkış (G/Ç) yetenekleri için Windows IPC kanalına okur ve yazar.”
“Bu, implantın HTTPSnoop gibi halka açık sunucular yerine, güvenliği ihlal edilmiş bir kuruluşta daha fazla işlev görecek şekilde tasarlandığını ve muhtemelen kötü amaçlı yazılım operatörlerinin daha değerli veya yüksek öncelikli olarak gördüğü uç noktalara karşı kullanılmak üzere tasarlandığını gösteriyor.”
Kötü amaçlı yazılımın doğası, PipeSnoop’un bağımsız bir implant olarak çalışamayacağını ve kabuk kodunu diğer yöntemlerle elde etmek için bir sunucu görevi gören ve onu arka kapıya iletmek için adlandırılmış kanalı kullanan bir yardımcı bileşen gerektirdiğini gösteriyor.
hedefleme arasında telekom sektörüÖzellikle Orta Doğu’da son yıllarda bir kalıp haline geldi.
SaaS Güvenliğini Yükseltme: ITDR ve SSPM için Kapsamlı Bir Kılavuz
ITDR’nin tehditleri nasıl tanımlayıp azalttığına ilişkin eyleme geçirilebilir bilgilerle bir adım önde olun. Kimliğinizin ihlal edilemez kalmasını sağlamada SSPM’nin vazgeçilmez rolü hakkında bilgi edinin.
Ocak 2021’de ClearSky, Lübnan Sediri tarafından ABD, İngiltere ve Orta Doğu Asya’daki telekom operatörlerini hedef alan bir dizi saldırıyı ortaya çıkardı. Aynı Aralık ayının sonlarında Broadcom’un sahibi olduğu Symantec, bir konuya ışık tuttu. casusluk kampanyası MuddyWater (Seedworm olarak da bilinir) olarak bilinen olası bir İranlı tehdit aktörü tarafından Orta Doğu ve Asya’daki telekom operatörlerini hedef alıyor.
BackdoorDiplomacy, WIP26 ve Granite Typhoon (eski adıyla Gallium) takma adlarıyla takip edilen diğer düşman kolektiflerin de geçtiğimiz yıl bölgedeki telekomünikasyon hizmet sağlayıcılarına yönelik saldırılarla ilişkilendirildiği belirtiliyor.
