Контакты
Подписка 2024
Удаленный доступ
4 июля. Защищенный удаленный доступ к ИТ-инфраструктуре: как обеспечить контролируемое подключение внешних сотрудников
Регистрируйтесь на онлайн-конференцию!

Восточные телеком-компании под прицелом новых вирусов HTTPSnoop и PipeSnoop

21/09/23

hack164-Sep-21-2023-10-09-47-2611-AM

Два новых вида вредоносного ПО HTTPSnoop и PipeSnoop использовались в кибератаках на телекоммуникационные компании на Ближнем Востоке. Согласно отчету компании Cisco Talos, вредоносы принадлежат одному и тому же субъекту угроз, названному ShroudedSnooper, и служат различным операционным целям. Это передает Securitylab.

Оба вида вредоносного ПО маскируются под компоненты безопасности продукта Palo Alto Networks Cortex XDR для уклонения от обнаружения. Неясно, как именно ShroudedSnooper осуществляет взлом, но исследователи предполагают, что хакеры эксплуатируют уязвимые серверы, доступные через Интернет, прежде чем использовать HTTPSnoop для установления начального доступа.

HTTPSnoop: мониторинг и выполнение кода

HTTPSnoop использует низкоуровневые API Windows для прямого взаимодействия с HTTP-сервером на целевой системе. Вредонос привязывается к определенным URL-шаблонам и слушает входящие запросы. Если запрос соответствует определенному шаблону, он декодирует данные в запросе выполняет их как шелл-код на скомпрометированном хосте

Имплант активируется на целевой системе через DLL hijacking и состоит из двух компонентов: второго этапа шелл-кода, который настраивает веб-сервер с бэкдором через системные вызовы ядра, и его конфигурации. Cisco заметила три варианта HTTPSnoop, каждый из которых использует разные шаблоны прослушивания URL.

PipeSnoop: глубокое проникновение в сети

PipeSnoop действует как бэкдор, выполняющий шелл-код на скомпрометированных устройствах через механизм межпроцессного взаимодействия Windows (inter-process communication, IPC). При этом PipeSnoop больше используется для операций в глубине скомпрометированных сетей, которые операторы вредоносного ПО считают более ценными или приоритетными.

Телекоммуникационные провайдеры часто становятся целями для правительственных хакеров из-за их ключевой роли в функционировании критической инфраструктуры и обработке конфиденциальной информации. Последний всплеск подобных атак на телекоммуникационные сущности подчеркивает насущную необходимость усиления мер безопасности и международного сотрудничества для их защиты.

Темы:сотовые операторыПреступленияCisco TalosPalo Alto NetworksСредний Восток
NGFW
28 июня. Комплексный подход к кибербезопасности. Защита АСУ ТП. Безопасность КИИ
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...