Новый пакет вторжений ShroudedSnooper атакует телекоммуникационные компании Ближнего Востока

"HTTPSnoop" представляет собой бэкдор, который использует инновационный метод взаимодействия с драйверами и устройствами HTTP-ядра Windows. Его ключевая особенность - способность прослушивать входящие HTTP(S)-запросы на определенные URL-адреса и выполнять их на зараженной системе. Это позволяет злоумышленникам удаленно управлять атакованными машинами, обходя традиционные механизмы защиты. Близкий по функционалу имплант "PipeSnoop" принимает произвольный шелл-код через именованные каналы и исполняет его, что делает его еще более опасным инструментом для скрытого контроля над системами.

Оба импланта маскируются под легитимные компоненты программного обеспечения, в частности под агенты расширенного обнаружения и реагирования (XDR), что значительно усложняет их выявление. Использование DLL- и EXE-файлов, имитирующих доверенное ПО, позволяет злоумышленникам избегать срабатывания сигнатурных антивирусных систем.

Анализ шаблонов URL, используемых в "HTTPSnoop", показал, что злоумышленники имитируют запросы к платформе Exchange Web Services (EWS) от Microsoft. Это позволяет предположить, что атаки начинаются с компрометации серверов, выходящих в интернет, а затем злоумышленники используют "HTTPSnoop" для получения первоначального доступа к внутренним ресурсам компании.

Атаки на телекоммуникационный сектор не являются новостью для экспертов Cisco Talos. По данным их отчетов, в 2022 году этот сектор лидировал по количеству кибератак, что делает его одной из самых привлекательных целей для хакеров. Злоумышленники стремятся получить доступ к критически важной инфраструктуре, чтобы перехватывать коммуникации, собирать данные абонентов или использовать сети для дальнейших атак.

Обнаружение "ShroudedSnooper" подтверждает растущую сложность киберугроз и необходимость усиления мер защиты, особенно для компаний, работающих в сфере телекоммуникаций. Эксперты рекомендуют организациям обновлять системы, внедрять многофакторную аутентификацию, а также использовать современные решения для мониторинга и обнаружения аномальной активности в сети. В противном случае риски масштабных утечек данных и финансовых потерь остаются крайне высокими.

Cisco Talos продолжает исследовать активность злоумышленников, связанных с "ShroudedSnooper", и обещает опубликовать дополнительные рекомендации по защите от этих угроз. Компании, особенно в телекоммуникационном секторе, должны быть готовы к возможным атакам и заранее укреплять свою кибербезопасность.

SHA256

• 04cf425e57e7d511f03189749c8c0a95483eeeb4c423e9ee1a6a766d2fe0094c
• 1146b1f38e420936b7c5f6b22212f3aa93515f3738c861f499ed1047865549cb
• 3875ed58c0d42e05c83843b32ed33d6ba5e94e18ffe8fb1bf34fd7dedf3f82a7
• 7495c1ea421063845eb8f4599a1c17c105f700ca0671ca874c5aa5aef3764c1c
• 9117bd328e37be121fb497596a2d0619a0eaca44752a1854523b8af46a5b0ceb
• c5b4542d61af74cf7454d7f1c8d96218d709de38f94ccfa7c16b15f726dc08c0
• e1ad173e49eee1194f2a55afa681cef7c3b8f6c26572f474dec7a42e9f0cdc9d