Novos malwares chamados HTTPSnoop e PipeSnoop são usados em ataques cibernéticos a provedores de serviços de telecomunicações no Oriente Médio, permitindo que os agentes de ameaças executem remotamente comandos em dispositivos infectados.
O malware HTTPSnoop faz interface com drivers e dispositivos do kernel HTTP do Windows para executar conteúdo no endpoint infectado com base em URLs HTTP(S) específicos, e o PipeSnoop aceita e executa shellcode arbitrário de um pipe nomeado.
De acordo com um relatório da Cisco Talos, os dois implantes pertencem ao mesmo conjunto de intrusão denominado ‘ShroudedSnooper’, mas servem objetivos operacionais diferentes em termos do nível de infiltração.
Ambos os implantes são disfarçados como componentes de segurança do produto Cortex XDR da Palo Alto Networks para evitar a detecção.
HTTPSnoop
HTTPSnoop usa APIs de baixo nível do Windows para monitorar o tráfego HTTP(S) em um dispositivo infectado para URLs específicos. Quando detectado, o malware decodificará os dados recebidos codificados em base64 desses URLs e os executará como um shellcode no host comprometido.
O implante, que é ativado no sistema de destino por meio do sequestro de DLL, consiste em dois componentes: o shellcode de estágio 2 que configura um servidor web backdoor por meio de chamadas de kernel e sua configuração.
HTTPSnoop estabelece um loop de escuta que aguarda solicitações HTTP recebidas e processa dados válidos na chegada; caso contrário, ele retornará um redirecionamento HTTP 302.
O shellcode recebido é descriptografado e executado, e o resultado da execução é retornado aos invasores como blobs codificados em XOR codificados em base64.
O implante também garante que não haja conflitos de URL com URLs previamente configurados no servidor.
A Cisco viu três variantes do HTTPSnoop, cada uma usando diferentes padrões de escuta de URL. O primeiro escuta solicitações genéricas baseadas em URL HTTP, o segundo para URLs que imitam o Microsoft Exchange Web Service e o terceiro para URLs que emulam LBS/OfficeTrack do OfficeCore e aplicativos de telefonia.
Essas variantes foram amostradas entre 17 e 29 de abril de 2023, com a mais recente tendo o menor número de URLs que escuta, provavelmente para maior furtividade.
A imitação de padrões de URL legítimos do Microsoft Exchange Web Services e do OfficeTrack torna as solicitações maliciosas quase indistinguíveis do tráfego benigno.
URLs que HTTPSnoop está configurado para escutar (Cisco)
PipeSnoop
A Cisco detectou pela primeira vez o implante PipeSnoop em maio de 2023, agindo como um backdoor que executa cargas úteis de shellcode em endpoints violados por meio de pipes Windows IPC (Inter-Process Communication).
Os analistas observam que, ao contrário do HTTPSnoop, que parece ter como alvo servidores voltados ao público, o PipeSnoop é mais adequado para operações profundas em redes comprometedas.
A Cisco também observa que o implante precisa de um componente que forneça o shellcode. No entanto, seus analistas não conseguiram identificá-lo.
Os prestadores de serviços de telecomunicações tornam-se frequentemente alvos de agentes de ameaças patrocinados pelo Estado devido ao seu papel crucial na gestão de infraestruturas críticas e na transmissão de informações extremamente sensíveis através de redes.
O recente aumento de ataques patrocinados pelo Estado contra entidades de telecomunicações sublinha a necessidade urgente de medidas de segurança reforçadas e de cooperação internacional para as proteger.
Comentários