Os investigadores descobriram novas backdoors aproveitadas para manter o acesso a longo prazo nas redes das empresas de telecomunicações no Médio Oriente.
HTTPSnoop e PipeSnoop – como os dois implantes foram apelidados pelos pesquisadores do Cisco Talos – foram disfarçados como componentes da solução Cortex XDR da Palo Alto Networks.
Dois implantes backdoor
“HTTPSnoop é um novo backdoor simples, mas eficaz, que usa APIs de baixo nível do Windows para interagir diretamente com o dispositivo HTTP no sistema. Ele aproveita esse recurso para vincular padrões de URL HTTP(S) específicos ao endpoint para escutar solicitações recebidas”, explicaram os pesquisadores .
“Quaisquer solicitações recebidas para os URLs especificados são captadas pelo implante, que então decodifica os dados que acompanham a solicitação HTTP. Os dados HTTP decodificados são, na verdade, shellcode que é então executado no endpoint infectado.”
O HTTPSnoop tenta manter a discrição usando padrões de URL semelhantes aos usados pela plataforma Exchange Web Services (EWS) da Microsoft e pelo OfficeTrack da OfficeCore, uma solução de gerenciamento de força de trabalho comercializada para telecomunicações.
O PipeSnoop, por outro lado, pode executar cargas úteis de shellcode no endpoint infectado lendo de um pipe IPC do Windows nomeado pré-existente .
“Isso sugere que o implante provavelmente foi projetado para funcionar ainda mais dentro de uma empresa comprometida – em vez de servidores públicos como HTTPSnoop – e provavelmente se destina ao uso contra endpoints que os operadores de malware consideram mais valiosos ou de alta prioridade”, afirmaram os pesquisadores.
Setor de telecomunicações sob ataque
As empresas de telecomunicações são frequentemente atacadas por uma variedade de agentes de ameaças, uma vez que podem servir de canal para ataques a indivíduos , empresas e governos.
“As telecomunicações possuem grande parte da infraestrutura que outras empresas utilizam para as suas operações. Portanto, eles têm uma grande responsabilidade para com eles”, disse recentemente Georgia Bafoutsou, responsável pela segurança cibernética da Agência da União Europeia para a Segurança Cibernética (ENISA), à Help Net Security.
“O setor também pode atuar como escudo para os demais setores, mitigando os ataques antes que atinjam outras empresas.”
Os pesquisadores do Cisco Talos não conseguiram conectar esses ataques mais recentes a um agente de ameaça conhecido.
ATUALIZAÇÃO (22 de setembro de 2023, 06h05 horário do leste dos EUA):
SentinelLabs e QGroup GmbH publicaram um relatório sobre outro ator de ameaça que recentemente teve como alvo empresas de telecomunicações no Oriente Médio, na Europa Ocidental e no subcontinente do Sul da Ásia.
O agente da ameaça usa um novo backdoor modular baseado na plataforma LuaJIT. “LuaDream é um backdoor multicomponente e multiprotocolo, cujos principais recursos são o gerenciamento de plug-ins fornecidos pelo invasor e a exfiltração de informações do sistema e do usuário”, eles compartilharam .
FONTE: HELP NET SECURITY