"ShroudedSnooper" -takaovet käyttävät erittäin varkaita Lähi-idän televiestintähyökkäyksissä

Mahdollisesti uusi uhkatekijä kompromissi äskettäin kaksi Lähi-idässä sijaitsevat televiestintäorganisaatiot, joka käyttää kahta takaovea ennen näkemättömillä menetelmillä haitallisen shell-koodin salaamiseen lataamiseen kohdejärjestelmään.

Dark Readingin kanssa jakamassa raportissa Cisco Talos nimesi tunkeutumisjoukon "ShroudedSnooper", koska se ei kyennyt korreloimaan toimintaa aiemmin tunnistettuihin ryhmiin.

ShroudedSnooper käyttää kahta takaovea - "HTTPSnooppia" ja "PipeSnoopia" - ja niissä on laajat tunnistusmekanismit, mukaan lukien naamioituminen suosituiksi ohjelmistotuotteiksi ja Windows-palvelimien matalan tason komponenttien tartuttaminen. Kun ne on istutettu, ne suorittavat shell-koodin antaakseen kyberhyökkääjille jatkuvan jalansijan uhrien verkoissa ja voivat siirtää sivusuunnassa, suodattaa tietoja tai pudottaa muita haittaohjelmia.

"Minun on sanottava: nämä ovat erittäin salaperäisiä", sanoo Vitor Ventura, Cisco Talosin johtava tietoturvatutkija. "He piiloutuvat näkyville. Ja heidän huonoa käytöstään on uskomattoman vaikea erottaa hyvästä. Se on aika fiksua.”

Uusi takaoven uhka: HTTPSnoop

On epäselvää, kuinka ShroudedSnooper-tunkeutumiset saavutetaan, vaikka tutkijat olettavat, että hyökkääjät todennäköisesti käyttävät hyväkseen haavoittuvia, Internetiin päin olevia palvelimia ennen kuin käyttävät HTTPSnoopia – joka on pakattu joko dynaamisten linkkien kirjastoksi tai suoritettavaksi tiedostoksi – alkupääsyn vahvistamiseen.

Perinteisen reitin sijaan Web-kuoren pudottaminen kohdistetulla Windows-palvelimella HTTPSnoop käyttää salakavaampaa ja kiertokulkuisempaa lähestymistapaa käyttämällä matalaa tasoa Windows API:t liittää suoraan HTTP-palvelimeen kohdistetussa järjestelmässä.

Kuten loinen, se käyttää ydintason pääsyä sitoutuakseen tiettyihin HTTP(S) URL-malleihin ja kuuntelee sitten saapuvia pyyntöjä. Jos saapuva HTTP-pyyntö täyttää tietyn mallin, se purkaa pyynnön tiedot.

"Periaatteessa he käyttävät väärin ominaisuutta. Näin Windows-verkkopalvelimet toimivat", Ventura sanoo ja lisää, että "en ole ennen nähnyt tällaista väärinkäyttöä implanttien rakentamiseksi."

Hiljaisuuden lisäämiseksi kyseiset URL-mallit noudattavat usein suosittuja, perinteisiä ohjelmistotuotteita. Esimerkiksi Ventura sanoo: "Vaikka analyytikko katsoisi URL-osoitteita, näyttää siltä, että se on tavallinen Outlook-webmail. Heidän on kiinnitettävä huomiota, elleivät he tiedä tarkalleen, mitä etsivät."

HTTP-pyynnöistä purettu data on luonnollisesti haitallista shell-koodia, joka sitten suoritetaan tartunnan saaneelle laitteelle.

Vaikeus pysäyttää ShroudedSnooper

Toukokuussa ShroudedSnoop-hyökkääjät kehittivät HTTPSnoop-päivityksen "PipeSnoop". Kuten veljensä, se pyrkii mahdollistamaan mielivaltaisen shell-koodin suorittamisen kohdepäätepisteessä, mutta lukemalla ja kirjoittamalla olemassa olevasta putkesta - jaetun muistin osasta, jota käytetään prosessien väliseen viestintään (IPC).

Jotta uteliailta katseilta vältytään, on syytä huomata, että molemmat Snoopit on pakattu suoritettaviin tiedostoihin, jotka matkivat Palo Alto Networksin Cortex XDR -sovellus.

Se, että jo ennestään salaperäistä HTTPSnoopia päivitetään edelleen, osoittaa vain, kuinka vaikeaa televiestinnän olisi tunnistaa ja poistaa nämä takaovet.

"Tietenkin uhrit voivat etsiä sitä. He voivat tarkistaa, mitkä URL-osoitteet on rekisteröity Web-palvelimeen, ja yrittää nähdä, mitä takaisinkutsuja kutsutaan ja mitkä DLL-tiedostot liittyvät näihin takaisinkutsuihin. Mutta sitten taas, se on rikosteknistä työtä, jota ei ole niin helppo tehdä live-tuotantojärjestelmissä”, Ventura selittää.

"Joten sanoisin, että ehkäisy on todella, todella avaintekijä tässä", hän päättää. Sen sijaan, että yrittäisivät kukistaa takaovet itse, "koska tähän tarvitaan tietyn tason etuoikeus, yritykset voivat käyttää käytössään olevia työkaluja aiempien vaiheiden havaitsemiseen ennen haittaohjelman asentamista, koska ne vaativat paljon etuoikeuksia."

SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
Lähde: https://www.darkreading.com/dr-global/shroudedsnooper-backdoors-ultra-stealth-mideast-telecom-attacks

Generatiivinen tiedustelu

"ShroudedSnooper" -takaovet käyttävät ultra-varkautta Lähi-idän televiestintähyökkäyksissä

Uusi takaoven uhka: HTTPSnoop

Vaikeus pysäyttää ShroudedSnooper

Myllerrys kryptossa: Binancen perustaja tuomittiin, hän kyseenalaistaa ChatGPT:n tietojen eheyden ja Bitcoinin hintataistelun 60 XNUMX dollarilla

Blockchain Shakeup: Binancen perustaja tuomittiin, koska itävaltalaiset asianajajat haastavat ChatGPT:n luotettavuuden

Uusin älykkyys

Crypto Turbulence: Binancen perustaja tuomittiin, itävaltalaiset kannattajat kyseenalaistavat ChatGPT:n tarkkuuden ja Bitcoinin taistelun 60 XNUMX dollarista

Binancen perustaja Changpeng Zhao tuomittiin vankilaan petosskandaalin vuoksi: vaikutukset kryptoteollisuuteen

Binancen perustaja lähetettiin vankilaan petosskandaalin keskellä: herätys salausvalvontaan

Crypto Turbulence: Binancen perustaja tuomittiin, koska itävaltalaiset asianajajat haastavat ChatGPT:n tietojen tarkkuuden

Binance Shock: perustaja Changpeng Zhao tuomittiin kryptoyhteisön keloiksi

Visionääristä vangiksi: Binancen perustaja Changpeng Zhao tuomittiin salausmyllerryksen ja -valvonnan keskellä

Keskustele kanssamme