Los proveedores de servicios de telecomunicaciones en Oriente Medio son el objetivo de un nuevo conjunto de intrusiones denominado Fisg\u00f3n envuelto<\/strong> que emplea una puerta trasera sigilosa llamada HTTPSnoop.<\/p>\n “HTTPSnoop es una puerta trasera simple pero eficaz que consta de t\u00e9cnicas novedosas para interactuar con dispositivos y controladores del kernel HTTP de Windows para escuchar solicitudes entrantes de URL HTTP(S) espec\u00edficas y ejecutar ese contenido en el punto final infectado”, Cisco Talos dicho<\/a> en un informe compartido con The Hacker News.<\/p>\n Tambi\u00e9n parte del arsenal del actor de amenazas es un implante hermano con nombre en c\u00f3digo PipeSnoop que puede aceptar c\u00f3digo shell arbitrario de un tuber\u00eda con nombre<\/a> y ejecutarlo en el punto final infectado.<\/p>\n Se sospecha que ShroudedSnooper explota los servidores conectados a Internet e implementa HTTPSnoop para obtener acceso inicial a los entornos de destino, y ambas cepas de malware se hacen pasar por componentes de la aplicaci\u00f3n Cortex XDR de Palo Alto Networks (“CyveraConsole.exe<\/a>“) para pasar desapercibido.<\/p>\n Hasta la fecha se han detectado tres muestras diferentes de HTTPSnoop. El malware utiliza API de Windows de bajo nivel para escuchar solicitudes entrantes que coincidan con patrones de URL predefinidos, que luego se seleccionan para extraer el c\u00f3digo shell que se ejecutar\u00e1 en el host.<\/p>\n “Las URL HTTP utilizadas por HTTPSnoop junto con el enlace al servidor web integrado de Windows indican que probablemente fue dise\u00f1ado para funcionar en servidores web y EWS expuestos a Internet”, dijeron los investigadores de Talos. “PipeSnoop, sin embargo, como su nombre lo indica, lee y escribe hacia y desde una tuber\u00eda IPC de Windows para sus capacidades de entrada\/salida (E\/S)”.<\/p>\n “Esto sugiere que el implante probablemente est\u00e9 dise\u00f1ado para funcionar m\u00e1s dentro de una empresa comprometida, en lugar de servidores p\u00fablicos como HTTPSnoop, y probablemente est\u00e9 destinado a usarse contra puntos finales que los operadores de malware consideran m\u00e1s valiosos o de alta prioridad”.<\/p>\n La naturaleza del malware indica que PipeSnoop no puede funcionar como un implante independiente y que requiere un componente auxiliar, que act\u00faa como un servidor para obtener el c\u00f3digo shell a trav\u00e9s de otros m\u00e9todos y utiliza la tuber\u00eda con nombre para pasarlo por la puerta trasera.<\/p>\n El apuntar<\/a> del sector de telecomunicaciones<\/a>particularmente en Medio Oriente, se ha convertido en una especie de patr\u00f3n en los \u00faltimos a\u00f1os. <\/p>\n Seguridad Level-Up SaaS: una gu\u00eda completa para ITDR y SSPM<\/p>\n <\/a><\/p>\n Mant\u00e9ngase a la vanguardia con conocimientos pr\u00e1cticos sobre c\u00f3mo ITDR identifica y mitiga las amenazas. Conozca el papel indispensable de SSPM para garantizar que su identidad siga siendo inviolable.<\/p>\n Potencia tus habilidades<\/a><\/section>\n En enero de 2021, ClearSky descubri\u00f3 una serie de ataques orquestados por Lebanese Cedar dirigidos a operadores de telecomunicaciones en EE. UU., Reino Unido y Medio Oriente Asi\u00e1tico. M\u00e1s tarde, ese mismo diciembre, Symantec, propiedad de Broadcom, arroj\u00f3 luz sobre un campa\u00f1a de espionaje<\/a> dirigido a operadores de telecomunicaciones en Medio Oriente y Asia por parte de un probable actor de amenazas iran\u00ed conocido como MuddyWater (tambi\u00e9n conocido como Seedworm).<\/p>\n Otros colectivos adversarios rastreados bajo los apodos BackdoorDiplomacy, WIP26 y Granite Typhoon (anteriormente Gallium) tambi\u00e9n han sido atribuidos a ataques a proveedores de servicios de telecomunicaciones en la regi\u00f3n durante el a\u00f1o pasado.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/09\/El-nuevo-troyano-SuperBear-surge-en-un-ataque-de-phishing.png\")
<\/a><\/center><\/section>\n