HTTPSnoop 恶意软件针对Cisco Talos进行渗透
针对中东地区电信服务提供商的网络攻击是利用名为 HTTPSnoop 和 PipeSnoop 的新型恶意软件实施的,这些恶意软件允许网络犯罪分子远程控制这些感染了这种恶意软件的设备。
他们还发现了 HTTPSnoop 的配套植入程序PipeSnoop,它能够从命名管道中接受 shellcode,并通过将其发送到打开的套接字并在受感染的终端上进行执行。这些发现也证实,这两个被植入的程序属于一个名为"ShroudedSnooper"的黑客群组,Cisco Talos 认为它们极有可能属于新的入侵组织。
根据 Cisco Talos 的报告,这两个植入程序属于同一组名为 "ShroudedSnooper "的入侵程序,但在技术上是针对不同的操作目标进行的渗透。后门 HTTPSnoop是一种简单而有效的后门,它通过使用一种新颖的技术在 Windows 操作系统中进行编译,与 HTTP 内核驱动程序以及设备进行连接,监听传入的 HTTP(S) 请求,并在受感染的机器上执行恶意的命令。
Cisco Talos 在与 The Hacker News 分享的一份报告中指出,HTTPSnoop 是一种简单而有效的后门程序。值得注意的是,一个代号为 PipeSnoop 的姊妹植入程序也是威胁行为者武器库的一部分,因为该植入程序能够从命名管道中接受任意 shellcode 并在受感染的机器上进行执行。
据说,攻击者为了在目标环境中站稳脚跟,ShroudedSnooper 会首先攻击公网的服务器,并首先使用HTTPSnoop 进行攻击。这两种恶意软件都冒充了 Palo Alto Networks Cortex XDR 应用程序("CyveraConsole.exe")的组件。
安全研究中心早在 2023 年 5 月就首次检测到 PipeSnoop的植入。该植入程序似乎是 Windows IPC(进程间通信)管道的后门,用于向被入侵的终端发送 shell 代码。
安全工程师指出,该植入程序需要一个提供shell代码的组件才能正常运行。尽管如此,该公司的分析师仍然无法确定该恶意软件的位置,电信行业经常成为国家支持的攻击行为者的攻击目标,因为它们经常会在网络中运行关键的基础设施,并向广大客户传递敏感的信息,同时也是国家支持的攻击群体。
由于最近国家支持的针对电信行业的攻击逐渐升级,当务之急是加强安全措施,并在打击网络攻击方面开展过合作。此外,发布该帖子的研究人员还在帖子中详细介绍了发现HTTPSnoop 和 PipeSnoop 伪装成 Palo Alto Networks 的应用程序 Cortex XDR。
CyveraConsole[dot]exe 是包含 Windows 版 Cortex XDR 代理的可执行文件,该应用程序被认为是恶意软件可执行文件。研究人员于 2022 年 8 月 7 日发布了 Cortex XDR v7.8,并表示该产品将于 2023 年 4 月 24 日退役。
因此,威胁攻击者可能会在上述期间操作过这组植入程序,这意味着这些植入程序当时是由他们使用的。并且据观察,目前已经有三种不同的 HTTPSnoop 变种。
恶意软件的其中一种工作方式就是检测符合预定义的URL 模式的传入请求,然后通过使用底层的Windows API 提取 shellcode 并在用户计算机上进行执行。这次攻击中使用的 HTTP URL 模仿了微软 Exchange Web 服务、OfficeTrack 和与一家以色列电信公司有关的供应服务所使用的 URL,并试图以几乎无法检测到的方式对恶意流量进行编码。
据称,在过去的几年里,一些国家支持的犯罪团伙以及各种恶意的攻击组织针对世界各地的电信组织进行了攻击。2022 年,Talos IR 在对电信公司的调查中,始终将这一行业作为首要的攻击目标。
通常情况下,电信公司是那些想对关键基础设施资产进行破坏的攻击者的首选目标,它们控制着相当多的关键基础设施资产。
在许多情况下,这些机构是国家卫星、互联网和电话网络的骨干,私营和公共部门都非常依赖于这些网络。作者指出,电信公司也可以作为攻击者进入其他企业、用户或第三方供应商(如银行和信用卡公司)的网关。
此外,思科塔洛斯公司(Cisco Talos)指出,中东的亚洲电信公司也经常成为网络犯罪分子的攻击目标。Clearsky 网络安全公司在 2021 年 1 月披露,"Lebanese Cedar" APT使用RAT恶意软件家族针对美国、英国和亚洲中东地区的电信公司进行攻击。
赛门铁克还发现,针对南亚电信公司的 MuddyWater APT 也是赛门铁克提到的一个网络攻击团伙,它通过使用webshell将基于脚本的恶意软件传输到 Exchange 服务器内。
在今年早些的时候,Cisco Talos研究人员在 WellinTech 的 KingHistorian ICS 数据管理器中发现了两个漏洞,这将导致有人会试图利用其中的漏洞,Talos 对该软件进行了测试,证实了 WellinTech 背后的知名人士可以利用这些漏洞。
ClearSky 网络于 2021 年 1 月被发现,Lebanese Cedar组织策划了一系列针对美国、英国和中东亚洲电信运营商的攻击。同年 12 月,Broadcom 旗下的赛门铁克公司也曾披露,MuddyWater(又称种子蠕虫)威胁攻击者正在针对中东和亚洲的电信运营商发起间谍活动。
另据报道,在过去的一年中,其他的敌对组织也参与了针对该地区电信服务提供商的攻击,如 BackdoorDiplomacy、WIP26 和 Granite Typhoon(前 Gallium)。
