Um agente de ameaça potencialmente novo comprometeu recentemente duas organizações de telecomunicações baseadas no Oriente Médio , usando dois backdoors com métodos inéditos para carregar furtivamente shellcode malicioso em um sistema alvo.
Em um relatório compartilhado com Dark Reading, Cisco Talos chamou o conjunto de intrusão de “ShroudedSnooper”, pois não conseguiu correlacionar a atividade com nenhum grupo identificado anteriormente.
O ShroudedSnooper emprega dois backdoors – “HTTPSnoop” e “PipeSnoop” – com extensos mecanismos antidetecção, incluindo mascaramento de produtos de software populares e infecção de componentes de baixo nível de servidores Windows. Uma vez implantados, eles executam shellcode para dar aos ciberataques uma posição persistente nas redes das vítimas, com a capacidade de se mover lateralmente, exfiltrar dados ou lançar malware adicional .
“Devo dizer: são extremamente furtivos”, afirma Vitor Ventura, pesquisador-chefe de segurança do Cisco Talos. “Eles se escondem à vista de todos. E é incrivelmente difícil distinguir seu mau comportamento do bom. É muito inteligente.”
Nova ameaça de backdoor: HTTPSnoop
Não está claro como as intrusões do ShroudedSnooper são alcançadas, embora os pesquisadores suponham que os invasores provavelmente exploram servidores vulneráveis voltados para a Internet antes de usar o HTTPSnoop – empacotado como uma biblioteca de link dinâmico ou um arquivo executável – para consolidar o acesso inicial.
Em vez de seguir o caminho convencional de colocar um shell da Web em um servidor Windows de destino, o HTTPSnoop adota uma abordagem mais furtiva e tortuosa, usando APIs de baixo nível do Windows para interagir diretamente com o servidor HTTP em um sistema de destino.
Como um parasita, ele usa acesso em nível de kernel para se vincular a padrões de URL HTTP(S) específicos e, em seguida, escuta as solicitações recebidas. Se a solicitação HTTP recebida atender a um padrão específico, ele decodificará os dados na solicitação.
“Basicamente o que eles estão fazendo é abusar de um recurso. É assim que os servidores Web do Windows funcionam”, diz Ventura, antes de acrescentar que “nunca vi esse tipo de abuso sendo feito para construir implantes antes”.
Para aumentar a furtividade, os padrões de URL em questão geralmente estão em conformidade com produtos de software tradicionais e populares. Por exemplo, diz Ventura, “mesmo que um analista esteja olhando os URLs, parecerá que se trata de um webmail normal do Outlook. Eles terão que prestar atenção, a menos que saibam exatamente o que estão procurando”.
Esses dados decodificados das solicitações HTTP serão, naturalmente, um shellcode malicioso, que será executado no dispositivo infectado.
A dificuldade em parar o ShroudedSnooper
Em maio, os invasores do ShroudedSnoop desenvolveram uma atualização para HTTPSnoop, “PipeSnoop”. Como seu irmão, ele visa permitir que shellcode arbitrário seja executado no endpoint de destino, mas lendo e gravando em um pipe preexistente – uma seção de memória compartilhada usada para comunicação entre processos (IPC).
Para evitar ainda mais olhares indiscretos, deve-se notar que ambos os Snoops vêm empacotados em arquivos executáveis que imitam o aplicativo Cortex XDR da Palo Alto Networks .
O fato de o HTTPSnoop, já carregado de sigilo, estar sendo atualizado apenas serve para demonstrar o quão difícil seria para as telecomunicações identificar e eliminar esses backdoors.
“É claro que as vítimas podem procurá-lo. Elas podem verificar quais URLs estão registradas no servidor Web e tentar ver quais retornos de chamada estão sendo chamados e quais DLLs estão associadas a esses retornos de chamada. Mas, novamente, isso é trabalho forense, que é não é tão fácil de executar em sistemas de produção ao vivo”, explica Ventura.
“Então, eu diria que a prevenção é um fator muito, muito importante nisso”, conclui ele. Em vez de tentar derrotar os backdoors por conta própria, “porque há um certo nível de privilégio necessário para fazer isso, as empresas poderiam usar as ferramentas que possuem para detectar as etapas anteriores antes da implantação do malware, porque exigem alta privilégios.”
FONTE: DARKREADING