Araştırmacılar, Orta Doğu’daki telekomünikasyon firmalarının ağlarına uzun vadeli erişimi sürdürmek için kullanılan yeni arka kapıları ortaya çıkardılar.
HTTPSnoop ve PipeSnoop (bu iki implant Cisco Talos araştırmacıları tarafından adlandırıldığı üzere) Palo Alto Networks’ün Cortex XDR çözümünün bileşenleri olarak gizlendi.
İki arka kapı implantı
“HTTPSnoop, sistemdeki HTTP cihazıyla doğrudan etkileşim kurmak için düşük seviyeli Windows API’lerini kullanan basit ama etkili yeni bir arka kapıdır. Araştırmacılar, bu yeteneği, gelen istekleri dinlemek için uç noktaya belirli HTTP(S) URL modellerine bağlanmak için kullanıyor” diye açıkladı.
“Belirtilen URL’ler için gelen tüm istekler, implant tarafından alınıyor ve daha sonra HTTP isteğine eşlik eden verilerin kodunu çözmeye devam ediyor. Kodu çözülen HTTP verileri aslında daha sonra virüslü uç noktada çalıştırılan kabuk kodudur.”
HTTPSnoop, Microsoft’un Exchange Web Hizmetleri (EWS) platformu ve telekomünikasyona pazarlanan bir iş gücü yönetimi çözümü olan OfficeCore’un OfficeTrack’i tarafından kullanılanlara benzer URL kalıplarını kullanarak dikkat çekmemeye çalışır.
Öte yandan PipeSnoop, önceden var olan adlandırılmış bir Windows IPC kanalından okuyarak, etkilenen uç nokta üzerinde kabuk kodu veri yüklerini çalıştırabilir.
Araştırmacılar, “Bu, implantın HTTPSnoop gibi halka açık sunucular yerine, güvenliği ihlal edilmiş bir kuruluşta daha fazla işlev görecek şekilde tasarlandığını ve muhtemelen kötü amaçlı yazılım operatörlerinin daha değerli veya yüksek öncelikli olarak gördüğü uç noktalara karşı kullanılmak üzere tasarlandığını gösteriyor” dedi.
Telekom sektörü saldırı altında
Telekomünikasyon firmaları bireylere, işletmelere ve hükümetlere yönelik saldırılar için bir kanal görevi görebildikleri için sıklıkla çeşitli tehdit aktörlerinin saldırısı altındadır.
“Telekomünikasyon şirketleri, diğer işletmelerin kendi operasyonları için kullandığı altyapının büyük bir kısmına sahip. Bu nedenle kendilerine karşı büyük bir sorumlulukları var,” dedi Avrupa Birliği Siber Güvenlik Ajansı (ENISA) Siber Güvenlik Sorumlusu Georgia Bafoutsou yakın zamanda Help Net Security’ye söyledi.
“Sektör aynı zamanda diğer sektörler için bir kalkan görevi görerek saldırıları diğer işletmelere ulaşmadan azaltabilir.”
Cisco Talos araştırmacıları bu son saldırıları bilinen bir tehdit aktörüyle ilişkilendiremedi.