HTTPSnoopとPipeSnoop
HTTPSnoopとPipeSnoop、これらはいずれもこれまで認識されていなかった脅威グループによるものと考えられています。
どんなものなのでしょうか。
- HTTPSnoop
これはバックドア型マルウェアです。
配布時のファイル名やファイル情報に設定されている内容は、Palo Alto社のCortex XDRを装ったものとなっています。
HTTPSnoopは、低レベルのWindows APIを使用してシステム上のHTTPデバイスと直接対話する方式で動作します。
この機能を利用して、特定の HTTP (S) URLパターンについて受信リクエストを待ち受けます。
指定されたURLに対する受信リクエストはすべてインプラントによって取得され、次にHTTPリクエストに付随するデータのデコードが開始されます。
デコードされたHTTPデータは実際にはシェルコードで、感染したエンドポイントで実行されます。
実行したシェルコードの実行結果は、HTTPの200OKのパケットのペイロード部分にXORで符号化したものを格納して攻撃者に戻されます。
実行結果の戻し部分でも活動が検出されにくい実装となっています。
待ち受けるURLのパターンを変更した形式のいくつかの亜種が観測されています。
HTTPSnoopはインターネットに公開されたWebサーバーなどの環境で活動することを狙って作られたものと考えられます。 - PipeSnoop
これはインプラント型マルウェアです。
こちらも配布時のファイル名やファイル情報に設定されている内容は、Palo Alto社のCortex XDRを装ったものとなっています。
PipeSnoopは、Windows IPCパイプの入出力機能を読み書きする仕組みになっていて、シェルコードを実行することができます。
こちらのマルウェアには自分でパイプを開始する機能は実装されておらず、存在するパイプに対して作用する機構のみを持っています。
このため、このマルウェアは単独では動作できず、別のソフトウェアと組み合わせて使用することになりそうです。
しかし、このマルウェアはパイプを使いますので、この意味では侵害先の組織内の環境での活動には有効性が高いと考えられます。
HTTPSnoopで外部からの操作環境を実現し、PipeSnoopで横展開してなんらかの目的を達成する、などの組み合わせが想定されているものなのかもしれません。
どちらも設置が完了してしまうと存在が検出しにくいものとなっています。
しかし、マルウェアが設置される手順の部分ではなんらかの脆弱性が悪用されているといった類のものではありません。
この意味ではそもそもファイルの入手経路を日々意識する活動を継続できていれば、感染することを回避できる脅威に思えます。
組織に所属する人たちへの継続的な情報共有が重要といえそうです。
参考記事(外部リンク):New ShroudedSnooper actor targets telecommunications firms
in the Middle East with novel Implants
blog.talosintelligence.com/introducing-shrouded-snooper/
