[20/09/2023] Investigadores de seguridad han descubierto un nuevo conjunto de programas de backdoor que se han utilizado para comprometer sistemas pertenecientes a proveedores de telecomunicaciones de Oriente Medio. Los programas aún no están vinculados a ningún grupo de ciberataque conocido, pero en los últimos años varias naciones han puesto en su punto de mira a empresas de telecomunicaciones, porque operan con activos valiosos y pueden utilizarse como puertas de acceso a otras organizaciones.
Los dos backdoors denominados HTTPSnoop y PipeSnoop por los investigadores de Cisco Talos no se habían visto antes, pero fueron creadas por atacantes con buenos conocimientos del funcionamiento interno de Windows. Se hacen pasar por componentes de Cortex XDR de Palo Alto Networks, un cliente de seguridad para puntos finales.
Backdoor diseñado para servidores orientados a Internet
El backdoor HTTPSnoop suele desplegarse como una DLL maliciosa utilizando técnicas de secuestro de DLL, es decir, engañando a una aplicación legítima para que la cargue dándole un nombre y una ubicación específicos. Una vez ejecutada, utiliza API de Windows de bajo nivel para acceder al dispositivo HTTP en el kernel, y empezar a escuchar peticiones HTTP especialmente diseñadas.
El backdoor se registra como oyente de URL específicas, a las que los atacantes pueden enviar solicitudes con una palabra clave específica en el encabezado. Cuando recibe estas peticiones, HTTPSnoop descodifica el cuerpo de la petición y extrae shellcode, que luego ejecuta en el sistema.
Los investigadores de Talos encontraron múltiples versiones de este backdoor con la única diferencia de las URL que escuchaban. Una versión se registraba como oyente de URL HTTP que se parecían a las utilizadas por la API Exchange Web Services (EWS) de Microsoft, lo que sugiere que fue diseñada para desplegarse en servidores Microsoft Exchange comprometidos, y que los atacantes querían ocultar las peticiones sospechosas entre el tráfico legítimo.
Otra versión escuchaba URL que se parecían a las utilizadas por una aplicación de gestión de personal, ahora llamada OfficeTrack y anteriormente OfficeCore's LBS System. Esta aplicación se comercializa para empresas de telecomunicaciones, según los investigadores de Talos, lo que sugiere que los atacantes personalizan su backdoor para cada víctima basándose en el software que saben que están ejecutando en sus servidores.
"Las URL HTTP también consisten en patrones que imitan los servicios de aprovisionamiento de una empresa de telecomunicaciones israelí", dijeron los investigadores. Esta empresa de telecomunicaciones puede haber utilizado OfficeTrack en el pasado y/o utilizar actualmente esta aplicación, según los hallazgos de código abierto". Algunas de las URL del implante de HTTPSnoop también están relacionadas con las de sistemas de la empresa de telecomunicaciones".
HTTPSnoop y su backdoor hermano PipeSnoop se encontraron haciéndose pasar por un archivo ejecutable llamado CyveraConsole.exe, que normalmente pertenece a una aplicación que contiene el agente Cortex XDR de Palo Alto Networks para Windows.
"Las variantes de HTTPSnoop y PipeSnoop que descubrimos tenían sus marcas de tiempo de compilación alteradas, pero se hacían pasar por el agente XDR de la versión 7.8.0.64264", dijeron los investigadores. "Cortex XDR v7.8 fue liberado el 7 de agosto del 2022 y retirado del servicio el 24 de abril del 2023. Por lo tanto, es probable que los actores de la amenaza operaran este grupo de implantes durante el marco de tiempo mencionado".
PipeSnoop también ataca sistemas internos
PipeSnoop no escucha URL HTTP, sino un pipeline específico con nombre. Los pipelines IPC son un mecanismo a través del cual los procesos locales pueden comunicarse entre sí en los sistemas Windows. La elección de utilizar este mecanismo como comando y control sugiere que este backdoor podría haber sido diseñado para sistemas internos que no son directamente accesibles desde Internet, a diferencia de HTTPSnoop.
PipeSnoop no puede operar solo en un sistema porque no crea un pipeline con nombre por sí mismo, sino que sólo escucha una. Esto significa que otro implante debe obtener shellcode fraudulento de los atacantes de alguna manera y luego crear una tubería local con un nombre específico y alimentar el shellcode a PipeSnoop para que lo ejecute. Los investigadores de Talos aún no han podido identificar este segundo componente.
PipeSnoop "probablemente está diseñado para funcionar más dentro de una empresa comprometida -en lugar de servidores de cara al público como HTTPSnoop- y probablemente está destinado a ser utilizado contra puntos finales que los operadores de malware consideran más valiosos o de alta prioridad", dijeron los investigadores de Talos.
Basado en el artículo de Lucian Constantin (CSO) y editado por CIO Perú