Los proveedores de servicios de telecomunicaciones en Oriente Medio son el objetivo de un nuevo conjunto de intrusiones denominado Fisgón envuelto que emplea una puerta trasera sigilosa llamada HTTPSnoop.
«HTTPSnoop es una puerta trasera simple pero eficaz que consta de técnicas novedosas para interactuar con dispositivos y controladores del kernel HTTP de Windows para escuchar solicitudes entrantes de URL HTTP(S) específicas y ejecutar ese contenido en el punto final infectado», Cisco Talos dicho en un informe compartido con The Hacker News.
También parte del arsenal del actor de amenazas es un implante hermano con nombre en código PipeSnoop que puede aceptar código shell arbitrario de un tubería con nombre y ejecutarlo en el punto final infectado.
Se sospecha que ShroudedSnooper explota los servidores conectados a Internet e implementa HTTPSnoop para obtener acceso inicial a los entornos de destino, y ambas cepas de malware se hacen pasar por componentes de la aplicación Cortex XDR de Palo Alto Networks («CyveraConsole.exe«) para pasar desapercibido.
Hasta la fecha se han detectado tres muestras diferentes de HTTPSnoop. El malware utiliza API de Windows de bajo nivel para escuchar solicitudes entrantes que coincidan con patrones de URL predefinidos, que luego se seleccionan para extraer el código shell que se ejecutará en el host.
«Las URL HTTP utilizadas por HTTPSnoop junto con el enlace al servidor web integrado de Windows indican que probablemente fue diseñado para funcionar en servidores web y EWS expuestos a Internet», dijeron los investigadores de Talos. «PipeSnoop, sin embargo, como su nombre lo indica, lee y escribe hacia y desde una tubería IPC de Windows para sus capacidades de entrada/salida (E/S)».
«Esto sugiere que el implante probablemente esté diseñado para funcionar más dentro de una empresa comprometida, en lugar de servidores públicos como HTTPSnoop, y probablemente esté destinado a usarse contra puntos finales que los operadores de malware consideran más valiosos o de alta prioridad».
La naturaleza del malware indica que PipeSnoop no puede funcionar como un implante independiente y que requiere un componente auxiliar, que actúa como un servidor para obtener el código shell a través de otros métodos y utiliza la tubería con nombre para pasarlo por la puerta trasera.
El apuntar del sector de telecomunicacionesparticularmente en Medio Oriente, se ha convertido en una especie de patrón en los últimos años.
Seguridad Level-Up SaaS: una guía completa para ITDR y SSPM
Manténgase a la vanguardia con conocimientos prácticos sobre cómo ITDR identifica y mitiga las amenazas. Conozca el papel indispensable de SSPM para garantizar que su identidad siga siendo inviolable.
En enero de 2021, ClearSky descubrió una serie de ataques orquestados por Lebanese Cedar dirigidos a operadores de telecomunicaciones en EE. UU., Reino Unido y Medio Oriente Asiático. Más tarde, ese mismo diciembre, Symantec, propiedad de Broadcom, arrojó luz sobre un campaña de espionaje dirigido a operadores de telecomunicaciones en Medio Oriente y Asia por parte de un probable actor de amenazas iraní conocido como MuddyWater (también conocido como Seedworm).
Otros colectivos adversarios rastreados bajo los apodos BackdoorDiplomacy, WIP26 y Granite Typhoon (anteriormente Gallium) también han sido atribuidos a ataques a proveedores de servicios de telecomunicaciones en la región durante el año pasado.