EraDev
Ghoster-Xظهور ممثل جديد على الساحة ShroudedSnooper يستهدف شركات الاتصالات في الشرق الأوسط
ما الذى حدث ؟
اكتشفت شركة Cisco Talos مؤخرًا عائلة جديدة من البرامج الضارة تطلق عليها اسم "HTTPSnoop" والتى تستهدف مزودي خدمات الاتصالات في الشرق الأوسط.
HTTPSnoop هو عبارة عن باب خلفي Backdoor بسيط ولكنه فعال يتكون من تقنيات جديدة للتفاعل مع برامج تشغيل Windows HTTP kernel والأجهزة للاستماع إلى الطلبات الواردة لعناوين URL محددة لـ HTTP(S) وتنفيذ هذا البرنامج الضار على نقطة النهاية المصابة.
كيفية الحدوث ؟
تم التعرف عليها من خلال انها تعتمد على ملفات DLL وEXE والتي تتنكر فى شكل حلول امنية شرعية بشكل خاص Extended detection and response (XDR) مثل Palo Alto Networks' Cortex XDR ، مما يجعلها صعبة الكشف عنها.
أيضًا تم اكتشاف صديق من نفس النوع لـ "HTTPSnoop" يطلق عليها اسم "PipeSnoop"، والتي يمكن من خلالها قبول shellcode من خلال Pipe وتنفيذه على نقطة النهاية المصابة.
وضحت ايضا Cisco Talo بأن : نحن نقيّم بثقة عالية أن كلا من النوعين HTTPSnoop و PipeSnoop ينتميان إلى عائلة جديدة نطلق عليها اسم "ShroudedSnooper". استنادًا إلى أنماط عنوان URL HTTP المستخدمة في عمليات الحقن، مثل تلك التي تحاكي منصة Microsoft Exchange Web Services (EWS)، فإننا نقيّم أن جهة التهديد هذه من المحتمل أن تستغل الخوادم التي تواجه الإنترنت وتنشر HTTPSnoop للحصول على وصول أولي.
تم اكتشاف أن كلا من HTTPSnoop وPipeSnoop يتنكران كمكونات لتطبيق Cortex XDR التابع لشركة Palo Alto Networks. يُطلق على البرنامج الضار القابل للتنفيذ اسم "CyveraConsole.exe"، وهو التطبيق الذي يحتوي على الـ Agent الخاص بـ Cortex XDR لنظام التشغيل Windows. متغيرات كل من HTTPSnoop وPipeSnoop التي اكتشفت قد تم التلاعب بها من خلال الفتره الزمنية وتم تنكرها كـ XDR من الإصدار 7.8.0.64264. وتم إصدار Cortex XDR v7.8 في 7 أغسطس 2022، وتم إيقاف تشغيله في 24 أبريل 2023. لذلك، من المحتمل أن الجهات الفاعلة في التهديد قامت بتشغيل هذه المجموعة من عمليات الحقن خلال هذا الإطار الزمني المذكور أعلاه. على سبيل المثال، تم تجميع إحدى عمليات حقن "CyveraConsole.exe" في 16 نوفمبر 2022، وتقع تقريبًا في منتصف هذه النافذة الزمنية من عمر Cortex XDR v7.8.
يعد هذا النشاط استمرارًا على ما تم مراقبته على مدار السنوات العديدة الماضية حيث تستهدف الجهات الفاعلة شركات الاتصالات بشكل متكرر. كان هذا القطاع دائمًا من القطاعات الصناعية الأكثر استهدافًا في عام 2022، وفقًا لبيانات الاستجابة لحوادث Cisco Talos.
مؤشرات حيوية !!
لقد أصبح استهداف قطاع الاتصالات، وخاصة في الشرق الأوسط، بمثابة نمط في السنوات الأخيرة !!
في يناير 2021، كشفت ClearSky عن مجموعة من الهجمات التي دبرتها شركة "Lebanon Cedar" والتي استهدفت مشغلي الاتصالات في الولايات المتحدة والمملكة المتحدة والشرق الأوسط وآسيا. وفي وقت لاحق من شهر ديسمبر من ذلك العام، سلطت شركة Symantec المملوكة لشركة Broadcom الضوء على حملة تجسس استهدفت مشغلي الاتصالات في الشرق الأوسط وآسيا من قبل جهة تهديد إيرانية محتملة تُعرف باسم MuddyWater (المعروفة أيضًا باسم Seedworm).
كما تم تعقب مجموعات معادية أخرى تحت ألقاب BackdoorDiplomacy وWIP26 وGranite Typhoon (Gallium سابقًا) والتي تم تصنيفها أيضًا إلى الهجمات على مقدمي خدمات الاتصالات في المنطقة خلال العام الماضي.
اخيرا قال باحثو تالوس: تتمتع منظمات الاتصالات برؤية هائلة في حركة المرور على الإنترنت، علاوة على ذلك، تشتمل معظم البنية التحتية للاتصالات في كثير من الأحيان على شبكات أساسية تعتبر بالغة الأهمية لإنشاء الاتصال داخل البلدان وخارجها، وبالتالي فهي ذات قيمة عالية للمجموعات التي ترعاها الدولة.
في السنوات الأخيرة، كانت هناك حالات عديدة للجهات الفاعلة التي ترعاها الدول الذين يستهدفون مؤسسات الاتصالات في جميع أنحاء العالم. في عام 2022، كان هذا القطاع دائمًا القطاع الأكثر استهدافًا في مشاركات Talos IR. تسيطر شركات الاتصالات عادةً على عدد كبير من أصول البنية التحتية الحيوية، مما يجعلها أهدافًا ذات أولوية عالية للخصوم الذين يتطلعون إلى إحداث تأثير كبير. غالبًا ما تشكل هذه الكيانات العمود الفقري لشبكات الأقمار الصناعية والإنترنت والهواتف التي تعتمد عليها معظم الخدمات الخاصة والحكومية. علاوة على ذلك، يمكن لشركات الاتصالات أن تكون بمثابة بوابة للخصوم للوصول إلى شركات أخرى أو مشتركين أو مقدمي خدمات خارجيين.
قم بمشاركة الخبر على منصات التواصل الأجتماعى واخبرنا فى التعليقات عن هجمات مشابهة لهذه العمليات فى السنوات الماضيه ، والسلام ختام.
