HTTPSNoop ve Pipesnoop adlı yeni kötü amaçlı yazılım, Orta Doğu'daki telekomünikasyon hizmet sağlayıcıları üzerindeki siber saldırılarda kullanılır ve tehdit aktörlerinin enfekte cihazlarda uzaktan komutlar yürütmesine izin verir.
HTTPSNoop kötü amaçlı yazılımları, belirli HTTP (ler) URL'lerine dayanan enfekte bitiş noktasında içerik yürütmek için Windows HTTP çekirdek sürücüleri ve cihazları ile arayüz oluşturur ve PipesNoop, adlandırılmış bir borudan keyfi kabuk kodunu kabul eder ve yürütür.
Cisco Talos'un bir raporuna göre, iki implant 'Shroudedsnooper' adlı aynı izinsiz giriş setine aittir, ancak sızma seviyesi açısından farklı operasyonel hedeflere hizmet eder.
Her iki implant da tespitten kaçınmak için Palo Alto Networks Cortex XDR ürününün güvenlik bileşenleri olarak maskelenir.
HTTPSNOOP, belirli URL'ler için enfekte bir cihazdaki HTTP (S) trafiğini izlemek için düşük seviyeli Windows API'lerini kullanır. Tespit edildiğinde, kötü amaçlı yazılım, bu URL'lerden gelen baz 64 kodlu verileri çözecek ve tehlikeye atılan ana bilgisayarda bir kabuk kodu olarak çalıştıracaktır.
DLL kaçırma yoluyla hedef sistemde etkinleştirilen implant, iki bileşenden oluşur: Çekirdek çağrıları ve yapılandırması aracılığıyla bir arka kapı web sunucusu ayarlayan Aşama 2 kabuk kodu.
HTTPSNoop, gelen HTTP isteklerini ve varışta geçerli verileri işlemeyi bekleyen bir dinleme döngüsü oluşturur; Aksi takdirde, bir HTTP 302 yönlendirme döndürür.
Alınan kabuk kodu şifre çözülür ve yürütülür ve yürütme sonucu Base64 kodlu xor kodlu bloblar olarak saldırganlara iade edilir.
İmplant ayrıca sunucuda daha önce yapılandırılmış URL'lerle URL çatışması sağlamaz.
Cisco, her biri farklı URL dinleme modelleri kullanan üç HTTPSNOOP varyantı gördü. İlk olarak jenerik HTTP URL tabanlı istekler, ikincisi Microsoft Exchange Web Hizmetini taklit eden URL'ler için ikincisi ve URL'ler için üçüncüsü Officecore'un LBS/OfficTrack ve telefon uygulamalarını taklit ediyor.
Bu varyantlar 17 Nisan ve 29 Nisan 2023 arasında örneklendi ve en sonuncusu, artan gizlilik için dinlediği en az sayıda URL'ye sahipti.
Microsoft Exchange Web Services ve OfficTrack'tan meşru URL kalıplarını taklit etmek, kötü amaçlı istekleri benign trafikten neredeyse ayırt edilemez hale getiriyor.
Cisco ilk olarak Mayıs 2023'te Pipesnoop implantını tespit etti ve Windows IPC (işlemler arası iletişim) boruları aracılığıyla ihlal edilen uç noktalarda kabuk kodu yüklerini yürüten bir arka kapı görevi gördü.
Analistler, halka açık sunucuları hedeflediği görülen HTTPSNoop'un aksine, PipesNoop'un tehlikeye atılan ağlar içindeki operasyonlar için daha uygun olduğunu belirtiyor.
Cisco ayrıca implantın kabuk kodunu sağlayan bir bileşene ihtiyacı olduğunu belirtiyor. Ancak, analistleri bunu tanımlayamadı.
Telekomünikasyon hizmet sağlayıcıları, kritik altyapının yürütülmesinde ve ağlar aracılığıyla son derece hassas bilgileri aktarmada önemli rolleri nedeniyle devlet destekli tehdit aktörlerinin hedefleri haline gelir.
Telekom kuruluşlarına karşı devlet destekli saldırılardaki son artış, gelişmiş güvenlik önlemlerine ve bunları korumak için uluslararası işbirliğine olan acil ihtiyacın altını çiziyor.
İranlı Hackerlar Backdoor 34 Orgs ile Yeni Sponsor Kötü Yazılım
Yeni kötü amaçlı yazılım, veri hırsızlığı için iş yönlendiricilerini enfekte eder, gözetim
CISA: Barracuda ESG Hacks'de kullanılan yeni jakuzi arka kapı
CISA: Hacked Barracuda ESG Aletleri'nde bulunan yeni denizaltı kötü amaçlı yazılım
APT36 Eyalet Hacker'ları YouTube Uygulama Klonlarını Kullanarak Android Cihazları Enfekte
Kaynak: Bleeping Computer