البرامج الضارة HTTPSnoop

تم ربط موجة من الهجمات الإلكترونية التي تستهدف مقدمي خدمات الاتصالات في الشرق الأوسط بنشر سلالات جديدة من البرامج الضارة المعروفة باسم HTTPSnoop وPipeSnoop. تتيح أدوات التهديد هذه للجهات الفاعلة في مجال التهديد التحكم عن بعد في الأجهزة المخترقة.

تستفيد البرامج الضارة HTTPSnoop من برامج تشغيل وأجهزة Windows HTTP kernel لتنفيذ محتوى محدد على نقاط النهاية المصابة عبر عناوين URL الخاصة بـ HTTP(S). من ناحية أخرى، تم تصميم PipeSnoop لتلقي وتنفيذ رموز القشرة العشوائية من خلال أنبوب مسمى.

وفقًا لتقرير صادر عن باحثين في مجال الأمن السيبراني نجحوا في كشف حملة الهجوم هذه، يُنسب كل من HTTPSnoop وPipeSnoop إلى نفس مجموعة التطفل، المعروفة باسم "ShroudedSnooper". ومع ذلك، فإن التهديدين يخدمان أغراضًا تشغيلية مختلفة من حيث مستوى الاختراق.

تنفذ البرامج الضارة HTTPSnoop إجراءات متخصصة للمهاجمين

يستخدم HTTPSnoop واجهات برمجة تطبيقات Windows منخفضة المستوى لمراقبة حركة مرور HTTP(S) على جهاز مصاب، ويستهدف على وجه التحديد عناوين URL المحددة مسبقًا. عند اكتشاف عناوين URL هذه، تستمر البرامج الضارة في فك تشفير البيانات الواردة بتشفير Base64 منها وتنفيذها كرمز قشرة على المضيف المخترق.

تتكون هذه الغرسة غير الآمنة، التي تم تنشيطها على النظام المستهدف عبر اختطاف DLL، من مكونين رئيسيين: أولاً، كود القشرة للمرحلة الثانية، المسؤول عن إعداد خادم ويب خلفي من خلال استدعاءات kernel، وثانيًا، تكوينه.

يقوم HTTPSnoop بإنشاء حلقة استماع، وينتظر بصبر طلبات HTTP الواردة، ويعالج البيانات الصالحة بكفاءة عند وصولها. في الحالات التي تكون فيها البيانات الواردة غير صالحة، تقوم البرامج الضارة بإرجاع إعادة توجيه HTTP 302.

عند فك تشفير كود القشرة المستلم، يتم تنفيذه على الفور، ويتم إرسال نتائج التنفيذ مرة أخرى إلى المهاجمين في شكل كتل بيانات مشفرة بتشفير XOR بواسطة Base64.

بالإضافة إلى ذلك، تتخذ هذه العملية المزروعة احتياطات لتجنب التعارضات مع عناوين URL التي تم تكوينها مسبقًا على الخادم، مما يضمن التشغيل السلس دون حدوث تعارضات غير مقصودة.

اكتشف الخبراء العديد من متغيرات البرامج الضارة HTTPSnoop

هناك ثلاثة أنواع مختلفة من HTTPSnoop تمت ملاحظتها حتى الآن، حيث يستخدم كل منها أنماط استماع فريدة لعنوان URL. يراقب المتغير الأول الطلبات العامة المستندة إلى عنوان URL لـ HTTP، بينما يركز المتغير الثاني على عناوين URL التي تحاكي خدمة Microsoft Exchange Web Service. وفي الوقت نفسه، يستهدف البديل الثالث عناوين URL التي تحاكي LBS/OfficeTrack وتطبيقات الهاتف من OfficeCore.

تم اكتشاف هذه المتغيرات في أبريل 2023، وعلى وجه الخصوص، يحتوي الإصدار الأحدث على عدد أقل من عناوين URL التي يراقبها، ومن المحتمل أن يعزز قدراته التخفي.

ومن خلال تقليد أنماط عناوين URL المشروعة المرتبطة بخدمات Microsoft Exchange Web Services وOfficeTrack، تشبه هذه الطلبات الاحتيالية إلى حد كبير حركة المرور الحميدة، مما يجعل من الصعب للغاية تمييزها عن الطلبات المشروعة.

يشكل المشهد المتطور باستمرار للبرامج الضارة تهديدًا هائلاً ومستمرًا في عصرنا الرقمي. البرمجيات الخبيثة ليست مجرد مصدر إزعاج، بل هي خصم هائل قادر على إحداث الدمار على الأفراد والمنظمات، وحتى الدول. إن اليقظة والتعليم وتدابير الأمن السيبراني القوية هي أفضل دفاعاتنا ضد هذا التهديد الذي لا هوادة فيه. إن البقاء على اطلاع واعتماد أفضل الممارسات في مجال الأمن عبر الإنترنت ليس مجرد خيار؛ إنها ضرورة لحماية حياتنا الرقمية والحفاظ على سلامة عالمنا المترابط.