حمله هکرها به ارائه دهندگان خدمات مخابراتی با بدافزارهای جدید

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، بدافزار اچ تی تی پی اسنوپ (HTTPSnoop) با درایورها و دستگاه‌های هسته اچ تی تی پی (HTTP) ویندوز برای اجرای محتوا در نقطه پایانی آلوده بر اساس پیوند (URL) های خاص اچ تی تی پی و یا اچی تی تی پی اس کار می کند و بدافزار پایپ اسنوپ (PipeSnoop) کد پوسته دلخواه را از یک پایپ نام‌گذاری شده می‌پذیرد و اجرا می‌کند.

طبق گزارش سیسکو تالوس (Cisco Talos)، این دو بدافزار متعلق به یک مجموعه نفوذی به نام شرودد اسنوپر (ShroudedSnooper) هستند؛ اما از نظر سطح نفوذ اهداف عملیاتی متفاوتی را انجام می دهند.

هر دو بدافزار به‌عنوان اجزای امنیتی محصول پالو آلتو نتوورگس کورتکس اکس دی آر (Palo Alto Networks Cortex XDR) برای جلوگیری از تشخیص داده شدن، ظاهر شده‌اند.

اچ تی تی پی اسنوپ
این بدافزار از ای پی آی (API) های سطح پایین ویندوز برای نظارت بر ترافیک اچ تی تی پی و یا اچ تی تی پی اس در دستگاه آلوده برای پیوند های خاص استفاده می کند.

هنگامی که بدافزار شناسایی شد، داده های کدگذاری شده با بیس 64 (base64)، ورودی را از آن پیوند ها رمزگشایی می کند و آن را به عنوان یک کد پوسته روی میزبان در معرض خطر اجرا می کند.

بدافزار که از طریق ربودن دی ال ال (DLL) بر روی سیستم هدف فعال می شود، از دو جزء تشکیل شده است: پوسته کد مرحله 2 که یک وب سرور پشتی را از طریق فراخوانی هسته راه اندازی می کند و همچنین پیکربندی آن.

اچ تی تی پی اسنوپ یک حلقه شنیداری ایجاد می‌کند که منتظر درخواست‌های اچ تی تی پی ورودی می‌ماند و داده‌های معتبر را هنگام ورود پردازش می‌کند؛ در غیر این صورت، یک تغییر مسیر اچ تی تی پی 302 (HTTP 302) را برمی گرداند.

کد پوسته دریافتی رمزگشایی و اجرا می‌شود و نتیجه اجرا به عنوان حباب‌های کدگذاری شده با اکس او آر (XOR) با کد بیس 64 به مهاجمان بازگردانده می‌شود.

این بدافزار همچنین تضمین می کند که هیچ پیوندی با پیوندهای پیکربندی شده قبلی روی سرور تداخل نداشته باشد.

سیسکو سه نوع اچ تی تی پی اسنوپ را دیده است که هر کدام از الگوهای گوش دادن به پیوندهای مختلفی استفاده می کنند.

اولی به درخواست‌های مبتنی بر پیوند اچ تی تی پی عمومی گوش می‌دهد، دومی به پیوند‌هایی که از سرویس وب مایکروسافت اکسچنج (Microsoft Exchange) تقلید می‌کنند، و سومی به پیوند‌هایی که آفیس ترک/ال بی اس (LBS/OfficeTrack) و برنامه‌های مخابراتی آفیس کور (OfficeCore) را شبیه‌سازی می‌کنند.

این گونه‌ها بین 17 آوریل و 29 آوریل 2023 نمونه‌برداری شدند، که جدیدترین آنها دارای کمترین تعداد پیوندهایی است که به آنها گوش می‌دهد که این امر احتمالاً برای افزایش مخفی کاری انجام شده است.

تقلید از الگوهای پیوند قانونی از خدمات شبکه مایکروسافت اکسچنج و آفیس ترک، باعث می‌شود که درخواست‌های مخرب تقریباً از ترافیک بی‌خطر، قابل تشخیص نباشند.

پایپ اسنوپ
سیسکو برای اولین بار بدافزار پایپ اسنوپ را در می 2023 مشاهده کرد که به عنوان یک درب پشتی عمل می کند که داده های کد پوسته را در نقاط پایانی شکسته شده از طریق پایپ های ارتباط بین فرآیندی ویندوز (Windows IPC) اجرا می کند.

تحلیلگران خاطرنشان می کنند که برخلاف اچ تی تی پی اسنوپ که به نظر می رسد سرورهای عمومی را هدف قرار می دهد، پایپ اسنوپ برای عملیات عمیق در شبکه های در معرض خطر مناسب تر است.

سیسکو همچنین خاطرنشان می کند که این بدافزار به قطعه ای نیاز دارد که کد پوسته را تامین کند.

با این حال، تحلیلگران آن قادر به شناسایی این قطعه نیستند.

ارائه دهندگان خدمات مخابراتی اغلب به دلیل نقش حیاتی خود در اجرای زیرساخت های حیاتی و انتقال اطلاعات بسیار حساس از طریق شبکه ها، هدف عوامل تهدید مورد حمایت دولتها قرار می گیرند.

افزایش اخیر حملات تحت حمایت دولت علیه مؤسسات مخابراتی بر نیاز فوری به اقدامات امنیتی و همکاری بین المللی برای محافظت از آنها تأکید می کند.