De nouveaux logiciels malveillants nommés HTTPSnoop et PipeSnoop sont utilisés dans des cyberattaques contre des fournisseurs de services de télécommunications au Moyen-Orient, permettant aux acteurs malveillants d’exécuter à distance des commandes sur des appareils infectés.
Le logiciel malveillant HTTPSnoop s’interface avec les pilotes et les périphériques du noyau HTTP Windows pour exécuter du contenu sur le point de terminaison infecté en fonction d’URL HTTP(S) spécifiques, et PipeSnoop accepte et exécute un shellcode arbitraire à partir d’un canal nommé.
Selon un rapport de Cisco Talos, les deux implants appartiennent au même ensemble d’intrusions nommé « ShroudedSnooper », mais servent des objectifs opérationnels différents en termes de niveau d’infiltration.
Les deux implants sont déguisés en composants de sécurité du produit Palo Alto Networks Cortex XDR pour échapper à la détection.
HTTPSnoop
HTTPSnoop utilise des API Windows de bas niveau pour surveiller le trafic HTTP(S) sur un appareil infecté pour des URL spécifiques. Une fois détecté, le logiciel malveillant décode les données entrantes codées en base64 à partir de ces URL et les exécute en tant que shellcode sur l’hôte compromis.
L’implant, qui s’active sur le système cible via un piratage de DLL, se compose de deux composants : le shellcode de niveau 2 qui configure un serveur Web de porte dérobée via des appels au noyau et sa configuration.
HTTPSnoop établit une boucle d’écoute qui attend les requêtes HTTP entrantes et traite les données valides à leur arrivée ; sinon, il renvoie une redirection HTTP 302.
Le shellcode reçu est déchiffré et exécuté, et le résultat de l’exécution est renvoyé aux attaquants sous forme de blobs codés XOR encodés en base64.
L’implant garantit également qu’aucune URL n’entre en conflit avec les URL précédemment configurées sur le serveur.
Cisco a vu trois variantes de HTTPSnoop, chacune utilisant des modèles d’écoute d’URL différents. Le premier écoute les requêtes génériques basées sur les URL HTTP, le second les URL imitant le service Web Microsoft Exchange et le troisième les URL imitant les applications LBS/OfficeTrack et de téléphonie d’OfficeCore.
Ces variantes ont été échantillonnées entre le 17 et le 29 avril 2023, la plus récente ayant le moins d’URL à écouter, probablement pour une furtivité accrue.
L’imitation des modèles d’URL légitimes des services Web Microsoft Exchange et d’OfficeTrack rend les requêtes malveillantes presque impossibles à distinguer du trafic inoffensif.
PipeSnoop
Cisco a repéré pour la première fois l’implant PipeSnoop en mai 2023, agissant comme une porte dérobée qui exécute des charges utiles de shellcode sur les points de terminaison violés via des canaux Windows IPC (Inter-Process Communication).
Les analystes notent que contrairement à HTTPSnoop, qui semble cibler les serveurs publics, PipeSnoop est plus adapté aux opérations au sein de réseaux compromis.
Cisco note également que l’implant a besoin d’un composant qui fournit le shellcode. Cependant, ses analystes n’ont pas pu l’identifier.
Les fournisseurs de services de télécommunications deviennent souvent la cible d’acteurs menaçants parrainés par l’État en raison de leur rôle crucial dans la gestion des infrastructures critiques et dans la transmission d’informations extrêmement sensibles via les réseaux.
La récente recrudescence des attaques parrainées par l’État contre des entités de télécommunications souligne le besoin urgent de mesures de sécurité renforcées et d’une coopération internationale pour les protéger.