Зловреден софтуер HTTPSnoop

Вълна от кибератаки, насочени към доставчици на телекомуникационни услуги в Близкия изток, е свързана с внедряването на нови видове зловреден софтуер, известни като HTTPSnoop и PipeSnoop. Тези заплашителни инструменти позволяват на участниците в заплахата да получат дистанционен контрол върху компрометирани устройства.

Злонамереният софтуер HTTPSnoop използва драйвери и устройства на HTTP ядрото на Windows, за да изпълни конкретно съдържание на заразени крайни точки чрез HTTP(S) URL адреси. От друга страна, PipeSnoop е проектиран да получава и изпълнява произволни шелкодове през наименуван канал.

Според доклад, издаден от изследователи по киберсигурност, които успешно разкриха тази кампания за атака, HTTPSnoop и PipeSnoop се приписват на една и съща група за проникване, идентифицирана като „ShroudedSnooper“. Двете заплахи обаче служат за различни оперативни цели по отношение на тяхното ниво на проникване.

Зловреден софтуер HTTPSnoop извършва специализирани действия за нападателите

HTTPSnoop използва приложни програмни интерфейси на Windows от ниско ниво, за да наблюдава HTTP(S) трафика на заразено устройство, като конкретно се насочва към предварително дефинирани URL адреси. При откриването на тези URL адреси злонамереният софтуер продължава да декодира входящи данни, кодирани с base64 от тях, и да ги изпълни като shellcode на компрометирания хост.

Този опасен имплант, активиран в целевата система чрез отвличане на DLL, се състои от два ключови компонента: първо, етап 2 shellcode, отговорен за настройването на задната врата на уеб сървъра чрез извиквания на ядрото, и второ, неговата конфигурация.

HTTPSnoop установява цикъл на слушане, търпеливо изчакващ входящи HTTP заявки и ефективно обработва валидни данни при пристигането им. В случаите, когато входящите данни не са валидни, зловредният софтуер връща HTTP 302 пренасочване.

След дешифриране на получения шелкод, той незабавно се изпълнява и резултатите от изпълнението се предават обратно на нападателите под формата на кодирани с base64 XOR-кодирани блокове данни.

Освен това този имплант взема предпазни мерки, за да избегне конфликти с предварително конфигурирани URL адреси на сървъра, като гарантира гладка работа без непреднамерени сблъсъци.

Експертите са разкрили няколко варианта на зловреден софтуер HTTPSnoop

Има три различни варианта на HTTPSnoop, наблюдавани досега, като всеки от тях използва уникални модели за слушане на URL адреси. Първият вариант следи общи HTTP URL-базирани заявки, докато вторият вариант се фокусира върху URL адреси, които имитират Microsoft Exchange Web Service. Междувременно третият вариант е насочен към URL адреси, които емулират LBS/OfficeTrack и приложенията за телефония на OfficeCore.

Тези варианти бяха открити през април 2023 г. и по-специално най-новият има намален брой URL адреси, които следи, което вероятно ще подобри неговите способности за стелт.

Чрез имитиране на легитимни URL модели, свързани с Microsoft Exchange Web Services и OfficeTrack, тези измамни заявки много приличат на доброкачествен трафик, което прави изключително трудно да се разграничат от легитимните заявки.

Постоянно развиващият се пейзаж на зловреден софтуер представлява огромна и постоянна заплаха в нашата цифрова ера. Злонамереният софтуер не е просто неудобство, а страхотен противник, способен да причини хаос на хора, организации и дори нации. Бдителността, образованието и стабилните мерки за киберсигурност са най-добрите ни защити срещу тази безмилостна заплаха. Да бъдеш информиран и да възприемеш най-добрите практики в онлайн сигурността не е просто избор; това е необходимост за опазването на нашия цифров живот и запазването на целостта на нашия взаимосвързан свят.