انتشار شده در تاریخ 1402/07/05 - 10:39

یک بدافزار در پشتی جدید که شرکت‌های مخابراتی خاورمیانه را هدف قرار می‌دهد

سرویس‌دهندگان ارتباطات تلفنی در منطقه خاورمیانه هدف یک مجموعه حمله جدید به‌نام ShroudedSnooper هستند که از یک درب پشتی پنهان به نام HTTPSnoop استفاده می‌کند.

به گزارش کارگروه امنیت سایبربان، Cisco Talos در یک گزارش اعلام کرده است: HTTPSnoop یک بک‌دور ساده ولی موثر است که از تکنیک‌های نوآورانه برای تعامل با درایورها و دستگاه‌های هسته است که از HTTP استفاده می‌کند تا درخواست‌های ورودی برای URLهای خاص HTTP(S) را گوش کند و محتوای مرتبط را در دستگاه آلوده اجرا کند.

بخشی از ابزارکار تهاجمی این گروه نیز با نام PipeSnoop نامگذاری شده است که می‌تواند شل‌کد خودساخته‌ای از طریق یک لوله نام‌گذاری شده دریافت کرده و آن را در دستگاه آلوده اجرا کند.

ShroudedSnooper از سرورهای قابل دسترسی اینترنتی استفاده می‌کند و HTTPSnoop را برای به‌دست آوردن دسترسی اولیه به محیط‌های هدف مستقر می‌کند. هر دو نوع ابزار مخرب به‌عنوان اجزایی از برنامه Cortex XDR شبکه‌های Palo Alto Networks (CyveraConsole.exe) جلوه می‌کنند تا از تشخیص متخصصان امنیتی فرار کنند.

تا کنون سه نسخه مختلف از HTTPSnoop شناسایی شده است. این درب پشتی از APIهای ویندوز سطح پایینی برای گوش دادن به درخواست‌های ورودی با الگوهای URL تعریف شده استفاده می‌کند. این الگوها سپس برای استخراج شل‌کد جهت اجرا در میزبان استفاده می‌شوند. این URLهای HTTP به شبیه‌سازی URLهای مربوط به خدمات تبادل اطلاعات وب مایکروسافت، OfficeTrack و خدمات تخصیص مرتبط با یک شرکت ارتباطات شبیه‌سازی شده‌اند تا درخواست‌های مخرب به نظر درخواست‌های بی‌خطری بیایند.

تحقیقات می‌گویند:

URLهای HTTP مورد استفاده توسط HTTPSnoop به همراه اتصال به وب سرور معمولی ویندوز نشان می‌دهد که احتمالاً برای کار روی سرورهای اینترنتی و وب و همچنین سرورهای خدمات تبادل اطلاعات (EWS) طراحی شده است. اما PipeSnoop با توجه به نامش احتمالاً برای عمل در داخل یک شرکت مورد تخریب استفاده می‌شود و به‌نظر می‌رسد برای دستگاه‌های مخرب با اولویت‌ها یا ارزش‌های بالاتر طراحی شده باشد.

PipeSnoop نمی‌تواند به‌عنوان یک ابزار مخرب مستقل کار کند و به یک جزء کمکی نیاز دارد که به‌عنوان یک سرور عمل کرده و شل‌کد را از طریق روش‌های دیگر دریافت کند و از طریق لوله نام‌گذاری شده آن را به درب پشتی منتقل کند.

حمله به بخش مخابرات، به‌ویژه در منطقه خاورمیانه، در سال‌های اخیر به یک الگو تبدیل شده است. در ژانویه 2021، ClearSky یک سری حملاتی را کشف کرد که توسط Lebanese Cedar اجرا شده بود و به اپراتورهای مخابراتی در ایالات متحده، انگلستان و منطقه خاورمیانه هدف می‌گرفت.

تحقیق‌گران Talos می‌گویند: سازمان‌های مخابراتی دید کاملی از ترافیک اینترنتی را دارند، هم در بخش خدمات خرده‌فروشی و هم در بخش‌های مرتبط با شرکت‌ها. علاوه بر این، بیشتر زیرساخت‌های مخابراتی از شبکه‌های مهمی تشکیل شده‌اند که برای برقراری اتصالات داخلی و خارجی اساسی هستند و به همین دلیل ارزش بسیاری برای گروه‌های حمایتی دولتی دارند.