Компания Cisco Talos обнаружила новый пакет вторжений, названный ею "ShroudedSnooper" и состоящий из двух новых имплантов "HTTPSnoop" и "PipeSnoop", нацеленных на телекоммуникационные компании на Ближнем Востоке.
- "HTTPSnoop" - это простой, но эффективный бэкдор, который представляет собой новую технику взаимодействия с драйверами и устройствами HTTP-ядра Windows, позволяющую прослушивать входящие запросы на определенные URL-адреса HTTP(S) и выполнять их на зараженной конечной точке. Родственный "HTTPSnoop" имплантат под названием "PipeSnoop" может принимать произвольный шелл-код из именованного канала и исполнять его на зараженной конечной точке.
- DLL- и EXE-версии этих имплантов, которые маскируются под компоненты легитимного ПО, в частности под агенты расширенного обнаружения и реагирования (XDR), что затрудняет их обнаружение.
- Оба имплантата принадлежат к новому набору вторжений "ShroudedSnooper". Основываясь на шаблонах HTTP URL, используемых в имплантатах, например, имитирующих платформу Exchange Web Services (EWS) компании Microsoft, злоумышленник, скорее всего, использует серверы, выходящие в Интернет, и применяет HTTPSnoop для получения первоначального доступа.
- Эта деятельность является продолжением тенденции, которую Cisco Talos наблюдают в течение последних нескольких лет и которая заключается в том, что злоумышленники часто атакуют телекоммуникационные компании. По данным Cisco Talos Incident Response, в 2022 году этот сектор неизменно занимал первое место по количеству атак.
Indicators of Compromise
SHA256
- 04cf425e57e7d511f03189749c8c0a95483eeeb4c423e9ee1a6a766d2fe0094c
- 1146b1f38e420936b7c5f6b22212f3aa93515f3738c861f499ed1047865549cb
- 3875ed58c0d42e05c83843b32ed33d6ba5e94e18ffe8fb1bf34fd7dedf3f82a7
- 7495c1ea421063845eb8f4599a1c17c105f700ca0671ca874c5aa5aef3764c1c
- 9117bd328e37be121fb497596a2d0619a0eaca44752a1854523b8af46a5b0ceb
- c5b4542d61af74cf7454d7f1c8d96218d709de38f94ccfa7c16b15f726dc08c0
- e1ad173e49eee1194f2a55afa681cef7c3b8f6c26572f474dec7a42e9f0cdc9d