Les fournisseurs de services de télécommunications au Moyen-Orient sont la cible d’un nouvel ensemble d’intrusions baptisé EnveloppéSnooper qui utilise une porte dérobée furtive appelée HTTPSnoop.
« HTTPSnoop est une porte dérobée simple mais efficace qui consiste en de nouvelles techniques d’interface avec les pilotes et périphériques du noyau HTTP Windows afin d’écouter les requêtes entrantes pour des URL HTTP(S) spécifiques et d’exécuter ce contenu sur le point de terminaison infecté », Cisco Talos dit dans un rapport partagé avec The Hacker News.
L’arsenal de l’acteur malveillant comprend également un implant frère nommé PipeSnoop qui peut accepter un shellcode arbitraire provenant d’un tuyau nommé et exécutez-le sur le point final infecté.
On soupçonne que ShroudedSnooper exploite les serveurs Internet et déploie HTTPSnoop pour obtenir un accès initial aux environnements cibles, les deux souches de logiciels malveillants se faisant passer pour des composants de l’application Cortex XDR de Palo Alto Networks (« CyveraConsole.exe« ) pour passer sous le radar.
Trois échantillons HTTPSnoop différents ont été détectés à ce jour. Le malware utilise des API Windows de bas niveau pour écouter les requêtes entrantes correspondant à des modèles d’URL prédéfinis, qui sont ensuite récupérées pour extraire le shellcode à exécuter sur l’hôte.
« Les URL HTTP utilisées par HTTPSnoop ainsi que la liaison au serveur Web Windows intégré indiquent qu’il a probablement été conçu pour fonctionner sur des serveurs Web et EWS exposés à Internet », ont déclaré les chercheurs de Talos. « PipeSnoop, cependant, comme son nom l’indique, lit et écrit vers et depuis un canal Windows IPC pour ses capacités d’entrée/sortie (E/S). »
« Cela suggère que l’implant est probablement conçu pour fonctionner davantage au sein d’une entreprise compromise – au lieu de serveurs publics comme HTTPSnoop – et est probablement destiné à être utilisé contre des points finaux que les opérateurs de logiciels malveillants jugent plus précieux ou prioritaires. »
La nature du malware indique que PipeSnoop ne peut pas fonctionner comme un implant autonome et qu’il nécessite un composant auxiliaire, qui agit comme un serveur pour obtenir le shellcode via d’autres méthodes et utiliser le canal nommé pour le transmettre par la porte dérobée.
Le ciblage de la secteur des télécommunicationsen particulier au Moyen-Orient, est devenu une tendance ces dernières années.
Niveau de sécurité SaaS : un guide complet sur l’ITDR et le SSPM
Gardez une longueur d’avance grâce à des informations exploitables sur la manière dont l’ITDR identifie et atténue les menaces. Découvrez le rôle indispensable de SSPM pour garantir que votre identité reste inviolable.
En janvier 2021, ClearSky a découvert une série d’attaques orchestrées par Lebanon Cedar et visant des opérateurs de télécommunications aux États-Unis, au Royaume-Uni et en Asie du Moyen-Orient. Plus tard en décembre, Symantec, propriété de Broadcom, a fait la lumière sur un campagne d’espionnage ciblant les opérateurs de télécommunications au Moyen-Orient et en Asie par un acteur iranien probable connu sous le nom de MuddyWater (alias Seedworm).
D’autres collectifs antagonistes suivis sous les surnoms BackdoorDiplomacy, WIP26 et Granite Typhoon (anciennement Gallium) ont également été attribués à des attaques contre des fournisseurs de services de télécommunications dans la région au cours de l’année écoulée.