2022’de devlet destekli aktörler ve ileri düzey rakipler sürekli olarak telekomünikasyon sektörünü küresel olarak hedef aldı ve bu da onu Talos Yİ vakalarında en üst sektör haline getirdi.
Kritik altyapı varlıklarına sahip telekom firmaları, ulusal ağlardaki rolleri ve rakipler için potansiyel geçitler olmaları nedeniyle öncelikli hedeflerdir.
Cisco Talos’taki siber güvenlik araştırmacıları yakın zamanda Orta Doğu telekom şirketlerini hedef alan ve URL tabanlı içerik yürütme için Windows HTTP çekirdek sürücüleriyle arayüz oluşturmak üzere benzersiz yöntemler kullanan yeni bir kötü amaçlı yazılım olan “HTTPSnoop”u buldu.
Benzersiz TTP’lere sahip HTTPSnoop ve PipeSnoop’u içeren implant kümesi, Talos tarafından takip edilen bilinen gruplarla eşleşmediği için “ShroudedSnooper” adlı yeni bir izinsiz giriş setiyle ilişkilendiriliyor.
Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir
Ücretsiz demo
HTTPSnoop’un çeşitleri
Saldırganlar toplamda üç HTTPSnoop çeşidi geliştirdi:
- Varyant 1: DLL tabanlı HTTPSnoop varyantları, zararsız uygulamalarda DLL ele geçirmeyi kullanıyor; ilk varyant 17 Nisan 2023’ten itibaren, kabuk kodu yürütme için Microsoft’un EWS API’sine benzeyen HTTP URL’lerine bağlanıyor.
- Varyant 2: 19 Nisan 2023’te oluşturulan ikinci değişken, ilk HTTPSnoop sürümüne benzer ancak muhtemelen açığa çıkan EWS olmayan bir web sunucusu için 80 ve 443 numaralı Bağlantı Noktalarındaki farklı HTTP URL’lerini hedefler.
- Varyant 3: Daha sonra, 29 Nisan 2023’te bir killswitch URL’si ve başka bir dinleme URL’si içeren üçüncü bir varyant oluşturdular; bu, muhtemelen URL’leri sınırlayarak algılama risklerini azaltacaktır.
HTTPSnoop Kötü Amaçlı Yazılım Arayüzü
HTTPSnoop ve PipeSnoop, Palo Alto Networks’ün Cortex XDR uygulamasının bileşenleri olarak ortaya çıktı ve değiştirilmiş derleme zaman damgaları, v7.8 penceresi (Ağustos 2022 – Nisan 2023) sırasında çalışmayı öneriyor.
HTTPSnoop, aşağıdakileri yapan basit ama etkili bir arka kapıdır: –
- HTTP cihazlarıyla etkileşim kurmak için düşük seviyeli Windows API’lerini kullanır
- Belirli URL modellerini dinleyin
- Gelen isteklerden kodu çözülmüş kabuk kodunu çalıştırır
Analiz edilen DLL’nin içerdiği iki temel bileşen vardır ve aşağıda bunlardan bahsettik: –
- Kodlanmış Aşama 2 kabuk kodu.
- Kodlanmış Aşama 2 yapılandırması.
Etkinleştirilen kötü amaçlı DLL XOR ayrıca Aşama 2 yapılandırmasının ve kabuk kodunun kodunu çözer ve çalıştırır.
Mayıs 2023’te oluşturulan PipeSnoop, farklı ortamlar için tasarlanmış ve muhtemelen IPC boru I/O yeteneklerine sahip kuruluşlarda kullanılan farklı bir implanttır.
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.