HTTPSnoop : la menace cachée pour les entreprises de télécommunications ?

« HTTPSnoop est une porte dérobée simple, mais efficace, qui consiste en de nouvelles techniques d’interface avec les pilotes et dispositifs du noyau HTTP de Windows pour écouter les demandes entrantes d’URL HTTP(S) spécifiques et exécuter ce contenu sur le point de terminaison infecté », a déclaré Cisco Talos dans un rapport partagé avec The Hacker News.

L’arsenal de l’acteur de la menace comprend également un implant jumeau portant le nom de code PipeSnoop qui peut accepter un shellcode arbitraire à partir d’un tuyau nommé et l’exécuter sur le point de terminaison infecté.

On soupçonne ShroudedSnooper d’exploiter des serveurs orientés vers Internet et de déployer HTTPSnoop pour obtenir un accès initial aux environnements cibles, les deux souches de logiciels malveillants se faisant passer pour des composants de l’application Cortex XDR de Palo Alto Networks (« CyveraConsole.exe ») afin de passer inaperçues.

Trois échantillons différents de HTTPSnoop ont été détectés à ce jour. Le logiciel malveillant utilise des API Windows de bas niveau pour écouter les requêtes entrantes correspondant à des modèles d’URL prédéfinis, qui sont ensuite récupérées pour extraire le shellcode à exécuter sur l’hôte.

« Les URL HTTP utilisées par HTTPSnoop et la liaison au serveur web intégré de Windows indiquent qu’il a probablement été conçu pour fonctionner sur des serveurs web et EWS exposés à l’Internet », ont déclaré les chercheurs de Talos. « Cependant, comme son nom l’indique, PipeSnoop lit et écrit dans un tuyau IPC Windows pour ses capacités d’entrée/sortie (I/O).

« Cela suggère que l’implant est probablement conçu pour fonctionner davantage au sein d’une entreprise compromise – plutôt que sur des serveurs publics comme HTTPSnoop – et qu’il est probablement destiné à être utilisé contre des points d’extrémité que les opérateurs du logiciel malveillant jugent plus précieux ou plus prioritaires.
La nature du logiciel malveillant indique que PipeSnoop ne peut pas fonctionner comme un implant autonome et qu’il nécessite un composant auxiliaire, qui agit comme un serveur pour obtenir le shellcode via d’autres méthodes, et utilise le tuyau nommé pour le transmettre à la porte dérobée.

Le ciblage du secteur des télécommunications, en particulier au Moyen-Orient, est devenu une habitude ces dernières années.

En janvier 2021, ClearSky a découvert une série d’attaques orchestrées par le Cedar libanais visant des opérateurs de télécommunications aux États-Unis, au Royaume-Uni et en Asie du Moyen-Orient. Plus tard en décembre, Symantec, qui appartient à Broadcom, a fait la lumière sur une campagne d’espionnage visant les opérateurs de télécommunications du Moyen-Orient et d’Asie, menée par un acteur iranien connu sous le nom de MuddyWater (alias Seedworm).

D’autres collectifs d’adversaires repérés sous les noms de BackdoorDiplomacy, WIP26 et Granite Typhoon (anciennement Gallium) se sont également vu attribuer des attaques contre des fournisseurs de services de télécommunications dans la région au cours de l’année écoulée.