Cyberthreat.id - Penyedia layanan telekomunikasi di Timur Tengah menjadi target dari serangkaian intrusi baru yang dijuluki ShroudedSnooper yang menggunakan backdoor tersembunyi yang disebut HTTPSnoop.

“HTTPSnoop adalah backdoor yang sederhana, namun efektif, yang terdiri dari teknik baru untuk berinteraksi dengan driver dan perangkat kernel HTTP Windows untuk mendengarkan permintaan masuk untuk URL HTTP(S) tertentu dan mengeksekusi konten tersebut pada titik akhir yang terinfeksi,” kata Cisco Talos dalam sebuah laporan dibagikan dengan The Hacker News.

Yang juga merupakan bagian dari persenjataan pelaku ancaman adalah implan kembar dengan nama sandi PipeSnoop yang dapat menerima kode shell sembarang dari pipa bernama dan mengeksekusinya pada titik akhir yang terinfeksi.

Diduga ShroudedSnooper mengeksploitasi server yang terhubung ke internet dan menyebarkan HTTPSnoop untuk mendapatkan akses awal ke lingkungan target, dengan kedua jenis malware tersebut meniru komponen aplikasi Cortex XDR Palo Alto Networks ("CyveraConsole.exe") agar tidak terdeteksi radar.

“Tiga varian HTTPSnoop berbeda telah terdeteksi hingga saat ini. Malware ini menggunakan API Windows tingkat rendah untuk mendengarkan permintaan masuk yang cocok dengan pola URL yang telah ditentukan, yang kemudian diambil untuk mengekstrak kode shell untuk dieksekusi pada host,” tulis The Hacker News.

URL HTTP ini meniru URL dari Microsoft Exchange Web Services, OfficeTrack, dan layanan penyediaan yang terkait dengan perusahaan telekomunikasi Israel dalam upaya membuat permintaan jahat hampir tidak dapat dibedakan dari lalu lintas yang tidak berbahaya.

“URL HTTP yang digunakan oleh HTTPSnoop bersama dengan pengikatan ke server web bawaan Windows menunjukkan bahwa URL tersebut kemungkinan dirancang untuk bekerja pada web dan server EWS yang terekspos internet,” kata peneliti Talos. "PipeSnoop, bagaimanapun, seperti namanya, membaca dan menulis ke dan dari pipa IPC Windows untuk kemampuan input/output (I/O)."

“Hal ini menunjukkan bahwa implan tersebut kemungkinan dirancang untuk berfungsi lebih jauh dalam perusahaan yang disusupi – dibandingkan dengan server publik seperti HTTPSnoop – dan mungkin dimaksudkan untuk digunakan terhadap titik akhir yang dianggap lebih berharga atau berprioritas tinggi oleh operator malware.”

Sifat malware menunjukkan bahwa PipeSnoop tidak dapat berfungsi sebagai implan yang berdiri sendiri dan memerlukan komponen tambahan, yang bertindak sebagai server untuk mendapatkan kode shell melalui metode lain, dan menggunakan pipa bernama untuk meneruskannya ke backdoor.

Penargetan sektor telekomunikasi, khususnya di Timur Tengah, telah menjadi suatu pola dalam beberapa tahun terakhir.

Pada Januari 2021, ClearSky mengungkap serangkaian serangan yang diatur oleh Cedar Lebanon yang ditujukan pada operator telekomunikasi di AS, Inggris, dan Asia Timur Tengah.

Belakangan pada Desember itu, Symantec milik Broadcom menjelaskan kampanye spionase yang menargetkan operator telekomunikasi di Timur Tengah dan Asia oleh aktor ancaman asal Iran yang dikenal sebagai MuddyWater (alias Seedworm).

Kelompok permusuhan lainnya yang dilacak dengan nama BackdoorDiplomacy, WIP26, dan Granite Typhoon (sebelumnya Gallium) juga telah dikaitkan dengan serangan terhadap penyedia layanan telekomunikasi di wilayah tersebut selama setahun terakhir.

“Organisasi telekomunikasi memiliki visibilitas luar biasa terhadap lalu lintas internet, baik yang terkait dengan ritel maupun perusahaan,” kata peneliti Talos kepada The Hacker News.

“Selain itu, sebagian besar infrastruktur telekomunikasi seringkali terdiri dari jaringan tulang punggung yang sangat penting untuk membangun konektivitas baik di dalam maupun di luar negara dan oleh karena itu mempunyai nilai tinggi bagi kelompok yang disponsori negara.”[]