Telecomy na Bliskim Wschodzie zaatakowane nowatorskimi backdoorami udającymi oprogramowanie zabezpieczające

Badacze z Cisco Talos odkryli nowe backdoory HTTPSnoop i PipeSnoop wykorzystywane do utrzymywania długoterminowego dostępu w sieciach firm telekomunikacyjnych na Bliskim Wschodzie.

Autor: Kapitan Hack Data dodania: 22 wrz 2023 07:17 2 min czytania

Firmy telekomunikacyjne są często atakowane przez różne podmioty zagrażające, ponieważ mogą służyć jako kanał ataków na osoby fizyczne, przedsiębiorstwa i rządy. Sektor może również działać jako tarcza dla innych sektorów, łagodząc ataki, zanim dotrą one do innych firm. Dlatego bezpieczeństwo systemów infrastruktury musi być utrzymywane na wysokim poziomie. Jak się okazuje, nie zawsze tak jest, czego przykładem są poniższe dwa backdoory.

Dwa implanty backdoor – HTTPSnoop i PipeSnoop

„HTTPSnoop to prosty, ale skuteczny nowy backdoor, który wykorzystuje niskopoziomowe interfejsy API systemu Windows do bezpośredniej interakcji z urządzeniem HTTP w systemie. Wykorzystuje tę możliwość do łączenia się z określonymi wzorcami adresów URL protokołu HTTP(S) z punktem końcowym w celu nasłuchiwania przychodzących żądań” – wyjaśniają badacze.

„Wszelkie przychodzące żądania dotyczące określonych adresów URL są przechwytywane przez implant, który następnie przystępuje do dekodowania danych towarzyszących żądaniu HTTP. Zdekodowane dane HTTP to w rzeczywistości kod powłoki, który jest następnie wykonywany na zainfekowanym punkcie końcowym” – piszą dalej naukowcy.

HTTPSnoop stara się zachować dyskrecję, używając wzorców adresów URL podobnych do tych wykorzystywanych przez platformę Exchange Web Services (EWS) firmy Microsoft i OfficeTrack firmy OfficeCore, rozwiązanie do zarządzania pracownikami oferowane telekomunikacji.

Z drugiej strony PipeSnoop może uruchamiać ładunki kodu powłoki na zainfekowanym punkcie końcowym, czytając z istniejącego wcześniej nazwanego potoku Windows IPC.

„To sugeruje, że implant jest prawdopodobnie zaprojektowany do dalszego funkcjonowania w zaatakowanym przedsiębiorstwie – zamiast na publicznych serwerach, takich jak HTTPSnoop – i prawdopodobnie jest przeznaczony do stosowania przeciwko punktom końcowym, które operatorzy szkodliwego oprogramowania uznają za cenniejsze lub mające wyższy priorytet” – stwierdzili badacze.

Specjalistom Cisco Talos nie udało się powiązać najnowszych ataków z żadnym znanym ugrupowaniem zagrażającym.

Opis obu backdoorów możecie znaleźć tutaj.