Orta Doğu’daki telekomünikasyon hizmet sağlayıcıları, “Yeni Bir Saldırı Grubunun Hedefi” ÖrtülüSnooper HTTPSnoop adı verilen gizli bir arka kapı kullanıyor.
Cisco Talos, “HTTPSnoop, belirli HTTP(S) URL’leri için gelen istekleri dinlemek ve bu içeriği virüslü uç noktada yürütmek üzere Windows HTTP çekirdek sürücüleri ve aygıtlarıyla arayüz oluşturmak için yeni tekniklerden oluşan basit ama etkili bir arka kapıdır.” dedi. The Hacker News ile paylaşılan bir rapor.
Ayrıca tehdit aktörünün cephaneliğinin bir parçası da, adlandırılmış bir kanaldan rastgele kabuk kodunu kabul edebilen ve bunu virüslü uç noktada çalıştırabilen PipeSnoop kod adlı kardeş implanttır.
ShroudedSnooper’ın internete bakan sunucuları kullandığından ve hedef ortamlara ilk erişim sağlamak için HTTPSnoop’u dağıttığından şüpheleniliyor; her iki kötü amaçlı yazılım türü de radarın altından geçmek için Palo Alto Networks’ün Cortex XDR uygulamasının (“CyveraConsole.exe”) bileşenlerini taklit ediyor.
Bugüne kadar üç farklı HTTPSnoop örneği tespit edildi. Kötü amaçlı yazılım, önceden tanımlanmış URL modelleriyle eşleşen gelen istekleri dinlemek için düşük düzeyli Windows API’lerini kullanıyor ve bunlar daha sonra ana bilgisayarda yürütülecek kabuk kodunu çıkarmak için alınıyor.
Talos araştırmacıları, “HTTPSnoop tarafından kullanılan HTTP URL’leri ve yerleşik Windows web sunucusuna bağlanma, bunun muhtemelen internete açık web ve EWS sunucularında çalışmak üzere tasarlandığını gösteriyor” dedi. “Ancak PipeSnoop, adından da anlaşılacağı gibi, giriş/çıkış (G/Ç) yetenekleri için Windows IPC kanalına okur ve yazar.”
“Bu, implantın HTTPSnoop gibi halka açık sunucular yerine, güvenliği ihlal edilmiş bir kuruluşta daha fazla işlev görecek şekilde tasarlandığını ve muhtemelen kötü amaçlı yazılım operatörlerinin daha değerli veya yüksek öncelikli olarak gördüğü uç noktalara karşı kullanılmak üzere tasarlandığını gösteriyor.”
Kötü amaçlı yazılımın doğası, PipeSnoop’un bağımsız bir implant olarak çalışamayacağını ve kabuk kodunu diğer yöntemlerle elde etmek için bir sunucu görevi gören ve onu arka kapıya iletmek için adlandırılmış kanalı kullanan bir yardımcı bileşen gerektirdiğini gösteriyor.
Özellikle Orta Doğu’da telekom sektörünün hedeflenmesi son yıllarda bir kalıp haline geldi.
SaaS Güvenliğini Yükseltme: ITDR ve SSPM için Kapsamlı Bir Kılavuz
ITDR’nin tehditleri nasıl tanımlayıp azalttığına ilişkin eyleme geçirilebilir bilgilerle bir adım önde olun. Kimliğinizin ihlal edilemez kalmasını sağlamada SSPM’nin vazgeçilmez rolü hakkında bilgi edinin.
Becerilerinizi Güçlendirin
Ocak 2021’de ClearSky, Lübnan Sediri tarafından ABD, İngiltere ve Orta Doğu Asya’daki telekom operatörlerini hedef alan bir dizi saldırıyı ortaya çıkardı. Aynı Aralık ayının sonlarında, Broadcom’un sahibi olduğu Symantec, MuddyWater (diğer adıyla Seedworm) olarak bilinen olası bir İranlı tehdit aktörünün Orta Doğu ve Asya’daki telekom operatörlerini hedef alan bir casusluk kampanyasına ışık tuttu.
BackdoorDiplomacy, WIP26 ve Granite Typhoon (eski adıyla Gallium) takma adlarıyla takip edilen diğer düşman kolektiflerin de geçtiğimiz yıl bölgedeki telekomünikasyon hizmet sağlayıcılarına yönelik saldırılarla ilişkilendirildiği belirtiliyor.