A „ShroudedSnooper” hátsó ajtók ultra-lopakodó eszközöket használnak a közel-keleti távközlési támadásokban

Egy potenciálisan újszerű fenyegetés szereplője nemrégiben kompromittált kettőt Közel-keleti székhelyű távközlési szervezetek, két hátsó ajtót használ, korábban nem látott módszerekkel, hogy lopakodva töltsön be rosszindulatú shellkódot a célrendszerre.

A Dark Readinggel megosztott jelentésben a Cisco Talos „ShroudedSnooper”-nek nevezte el a behatolási halmazt, mivel nem tudta összefüggésbe hozni a tevékenységet egyetlen korábban azonosított csoporttal sem.

A ShroudedSnooper két hátsó ajtót – „HTTPSnoop” és „PipeSnoop” – alkalmaz kiterjedt észlelési mechanizmusokkal, beleértve a népszerű szoftvertermékeknek való álcázást és a Windows szerverek alacsony szintű összetevőinek megfertőzését. A beültetést követően shellkódot hajtanak végre, hogy a kibertámadók állandó támpontot biztosítsanak az áldozatok hálózatán, és oldalirányú mozgás, adatok kiszűrése vagy további rosszindulatú programok eldobása.

„Meg kell mondanom: ezek rendkívül lopakodók” – mondja Vitor Ventura, a Cisco Talos vezető biztonsági kutatója. „Láthatóan elrejtőznek. És hihetetlenül nehéz megkülönböztetni a rossz viselkedésüket a jótól. Ez elég okos."

Új háttérajtó fenyegetés: HTTPSnoop

Nem világos, hogyan érhető el a ShroudedSnooper behatolás, bár a kutatók azt feltételezik, hogy a támadók valószínűleg sebezhető, internetre néző szervereket használnak ki, mielőtt a HTTPSnoop-ot – akár dinamikus hivatkozási könyvtárként, akár végrehajtható fájlként csomagolva – használnák a kezdeti hozzáférés megszilárdításához.

Ahelyett, hogy a hagyományos utat választaná egy webhéj eldobása egy célzott Windows-kiszolgálón a HTTPSnoop lopakodóbb, körültekintőbb megközelítést alkalmaz, alacsony szintet használva Windows API-k közvetlenül a HTTP szerverrel való interfészhez egy megcélzott rendszerben.

Mint egy parazita, kernelszintű hozzáférést használ, hogy meghatározott HTTP(S) URL-mintákhoz kötődjön, majd figyeli a bejövő kéréseket. Ha a bejövő HTTP-kérés egy adott mintának felel meg, akkor dekódolja a kérésben szereplő adatokat. 

„Alapvetően azt csinálják, hogy visszaélnek egy funkcióval. Így működnek a Windows webszerverek” – mondja Ventura, majd hozzáteszi, hogy „korábban nem láttam ilyen visszaélést implantátumok építésével kapcsolatban”.

A lopakodáshoz a kérdéses URL-minták gyakran megfelelnek a népszerű, hagyományos szoftvertermékeknek. Például Ventura azt mondja: „még ha egy elemző megnézi is az URL-eket, akkor is úgy tűnik, szokásos Outlook webmail. Figyelniük kell, hacsak nem tudják pontosan, mit keresnek.”

A HTTP-kérésekből dekódolt adatok természetesen rosszindulatú shellkódok lesznek, amelyek ezután a fertőzött eszközön végrehajtásra kerülnek.

A ShroudedSnooper megállításának nehézségei

Májusban a ShroudedSnoop támadói kifejlesztették a HTTPSnoop „PipeSnoop” nevű frissítését. Testvéréhez hasonlóan célja, hogy lehetővé tegye tetszőleges shellkód futtatását a célvégponton, de egy már létező csőből – a folyamatok közötti kommunikációhoz (IPC) használt megosztott memória egy részéből – olvas és ír.

A kíváncsi tekintetek további elkerülése érdekében meg kell jegyezni, hogy mindkét Snoop futtatható fájlba van csomagolva, utánozva A Palo Alto Networks Cortex XDR alkalmazása.

Az, hogy az amúgy is lopakodó HTTPSnoop-ot továbbfejlesztik, csak azt mutatja, hogy milyen nehéz lenne a távközlésnek azonosítani és kivágni ezeket a hátsó ajtókat.

„Természetesen az áldozatok kereshetik. Ellenőrizhetik, hogy mely URL-címek vannak regisztrálva a webszerveren, és megpróbálhatják megnézni, hogy mely visszahívásokat hívják, és mely DLL-ek vannak társítva ezekhez a visszahívásokhoz. De hát ez igazságügyi szakértői munka, amelyet nem olyan könnyű ténylegesen végrehajtani élő produkciós rendszereken” – magyarázza Ventura.

„Tehát azt mondanám, hogy a megelőzés valóban kulcsfontosságú tényező ebben” – összegzi. Ahelyett, hogy megpróbálnák magukat a hátsó ajtókat legyőzni, „mivel ehhez bizonyos szintű kiváltságok szükségesek, a vállalatok használhatják a rendelkezésükre álló eszközöket, hogy a rosszindulatú program beültetése előtt észleljék a korábbi lépéseket, mert ezekhez nagy szükség van. kiváltságokat.”

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• BlockOffsets. A környezetvédelmi ellentételezési tulajdon korszerűsítése. Hozzáférés itt.
• Forrás: https://www.darkreading.com/dr-global/shroudedsnooper-backdoors-ultra-stealth-mideast-telecom-attacks