Биба и Боба: телекомы под прицелом новых вирусов HTTPSnoop и PipeSnoop

HTTPSnoop PipeSnoop ShroudedSnooper Cisco Talos DLL hijacking URL Palo Alto Networks Cortex XDR IPC
Биба и Боба: телекомы под прицелом новых вирусов HTTPSnoop и PipeSnoop
HTTPSnoop PipeSnoop ShroudedSnooper Cisco Talos DLL hijacking URL Palo Alto Networks Cortex XDR IPC

Хакеры шпионят за Ближним Востоком, маскируясь под средство защиты.

image

Два новых вида вредоносного ПО HTTPSnoop и PipeSnoop использовались в кибератаках на телекоммуникационные компании на Ближнем Востоке. Согласно отчету компании Cisco Talos, вредоносы принадлежат одному и тому же субъекту угроз, названному ShroudedSnooper, и служат различным операционным целям.

Оба вида вредоносного ПО маскируются под компоненты безопасности продукта Palo Alto Networks Cortex XDR для уклонения от обнаружения. Неясно, как именно ShroudedSnooper осуществляет взлом, но исследователи предполагают, что хакеры эксплуатируют уязвимые серверы, доступные через Интернет, прежде чем использовать HTTPSnoop для установления начального доступа.

HTTPSnoop: мониторинг и выполнение кода

HTTPSnoop использует низкоуровневые API Windows для прямого взаимодействия с HTTP-сервером на целевой системе. Вредонос привязывается к определенным URL-шаблонам и слушает входящие запросы. Если запрос соответствует определенному шаблону, он декодирует данные в запросе выполняет их как шелл-код на скомпрометированном хосте

Имплант активируется на целевой системе через DLL hijacking и состоит из двух компонентов: второго этапа шелл-кода, который настраивает веб-сервер с бэкдором через системные вызовы ядра, и его конфигурации. Cisco заметила три варианта HTTPSnoop, каждый из которых использует разные шаблоны прослушивания URL.

PipeSnoop: глубокое проникновение в сети

PipeSnoop действует как бэкдор, выполняющий шелл-код на скомпрометированных устройствах через механизм межпроцессного взаимодействия Windows (inter-process communication, IPC). При этом PipeSnoop больше используется для операций в глубине скомпрометированных сетей, которые операторы вредоносного ПО считают более ценными или приоритетными.

Телекоммуникационные провайдеры часто становятся целями для правительственных хакеров из-за их ключевой роли в функционировании критической инфраструктуры и обработке конфиденциальной информации. Последний всплеск подобных атак на телекоммуникационные сущности подчеркивает насущную необходимость усиления мер безопасности и международного сотрудничества для их защиты.

Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!

Подписаться

Новости по теме

Вирус OfflRouter уже почти 10 лет остаётся незамеченным в правительственных сетях Украины

Byakugan: хакеры-ниндзя атакуют португалоязычные страны

Брешь в Cisco IMC: когда хакеры становятся администраторами за пару минут

Кофейная ловушка: уязвимость домена Nespresso привела к всплеску фишинговых атак

Starry Addax: правозащитники в Северной Африке стали жертвами пресс-службы Сахары

Cisco Talos: хакеры атакуют VPN-сервисы по всему миру

Всплывающие окна с NFT – новый способ украсть криптоактивы

Комментарии в коде как оружие: ошибка в GitLab позволяет скрытно заражать разработчиков

CDN как оружие: CoralRaider показала новые методы кражи аккаунтов и криптовалюты