Cisco Talos Intelligence Groupは9月19日(米国時間)、「New ShroudedSnooper actor targets telecommunications firms in the Middle East with novel Implants」において、中東の電気通信プロバイダーを標的とする2種類の新しいマルウェアファミリーを発見したと報じた。これらマルウェアは「ShroudedSnooper」と呼ばれる新しい侵入セットに属していると評価されている。

  • New ShroudedSnooper actor targets telecommunications firms in the Middle East with novel Implants

    New ShroudedSnooper actor targets telecommunications firms in the Middle East with novel Implants

発見されたマルウェアの1つは「HTTPSnoop」と呼ばれる。HTTPSnoopは低レベルのWindows APIを使用してシステム上のHTTPデバイスと直接対話するシンプルかつ効果的な新しいバックドアとされる。特定のHTTP(S) URLパターンに対する受信リクエストを取得し、リクエストに付随する悪意のあるシェルコードをデコードして実行する機能を持つ。

もう1つのマルウェアは「PipeSnoop」と呼ばれる。PipeSnoopは既存の名前付きパイプへ接続して受信した任意のシェルコードを実行する機能を持つ。自ら名前付きパイプを作成する機能はなく、ほかのマルウェアなどが構築した名前付きパイプへ接続する必要があり、単独でインプラントとして動作する能力はないとみられる。このマルウェアへ指示を出すマルウェアなどは見つかっていないとされる。

HTTPSnoopが待ち受けるURLとして、次のようなパターンが確認されている。

  • Microsoft Exchange Service(EWS)をホストしているサーバを装う。URLのパスには「ews」や「autodiscover」を含み、ポート443または444を指定する
  • OfficeCoreによって開発されたアプリケーション「OfficeTrack」を装う。URLのパスには「lbs」や「lbsadmin」を含む
  • イスラエルの通信会社のプロビジョニングサービスを装う。URLの一部は通信会社のシステムのURLに関連したものとなっている

HTTPSnoopを扱う脅威アクターはこれらURLを使用することで、リクエストが無害なものであるかのように装い、セキュリティ製品の検出を避けようとしたものとみられる。また、Cisco Talosによると、Palo Alto NetworksのCortex XDRアプリケーションのコンポーネントを装ったHTTPSnoopとPipeSnoop両方の亜種も確認されているという。