HTTPSnoop Malware

Vlna kybernetických útoků zaměřených na poskytovatele telekomunikačních služeb na Blízkém východě byla spojena s nasazením nových kmenů malwaru známých jako HTTPSnoop a PipeSnoop. Tyto nebezpečné nástroje umožňují aktérům hrozeb získat vzdálenou kontrolu nad ohroženými zařízeními.

Malware HTTPSnoop využívá ovladače a zařízení jádra Windows HTTP ke spouštění specifického obsahu na infikovaných koncových bodech prostřednictvím HTTP(S) URL. Na druhou stranu je PipeSnoop navržen tak, aby přijímal a spouštěl libovolné shell kódy prostřednictvím pojmenované roury.

Podle zprávy vydané výzkumníky v oblasti kybernetické bezpečnosti, kteří úspěšně odhalili tuto útočnou kampaň, jsou HTTPSnoop i PipeSnoop připisovány stejné skupině narušení, identifikované jako „ShroudedSnooper“. Tyto dvě hrozby však slouží odlišným operačním účelům z hlediska úrovně jejich infiltrace.

Malware HTTPSnoop provádí specializované akce pro útočníky

HTTPSnoop využívá nízkoúrovňová rozhraní Windows API ke sledování provozu HTTP(S) na infikovaném zařízení, konkrétně se zaměřuje na předdefinované adresy URL. Po detekci těchto adres URL z nich malware dekóduje data zakódovaná v base64 a spustí je jako shell kód na kompromitovaném hostiteli.

Tento nebezpečný implantát, aktivovaný na cílovém systému pomocí DLL únosu, se skládá ze dvou klíčových komponent: za prvé, shell kód 2. stupně, zodpovědný za nastavení backdoor webového serveru prostřednictvím volání jádra, a za druhé jeho konfigurace.

HTTPSnoop vytváří naslouchací smyčku, trpělivě čeká na příchozí požadavky HTTP a efektivně zpracovává platná data po jejich příchodu. V případech, kdy příchozí data nejsou platná, malware vrátí přesměrování HTTP 302.

Po dešifrování přijatého kódu shellu je okamžitě proveden a výsledky provedení jsou předány zpět útočníkům ve formě datových bloků kódovaných XOR kódováním base64.

Kromě toho tento implantát přijímá opatření, aby se vyhnul konfliktům s dříve nakonfigurovanými adresami URL na serveru, čímž je zajištěn hladký provoz bez neúmyslných střetů.

Odborníci odhalili několik variant malwaru HTTPSnoop

Dosud byly pozorovány tři odlišné varianty HTTPSnoop, z nichž každá využívá jedinečné vzorce naslouchání URL. První varianta monitoruje obecné požadavky založené na HTTP URL, zatímco druhá varianta se zaměřuje na URL, které napodobují webovou službu Microsoft Exchange. Třetí varianta se mezitím zaměřuje na adresy URL, které emulují LBS/OfficeTrack a telefonní aplikace OfficeCore.

Tyto varianty byly objeveny v dubnu 2023 a zejména ta nejnovější má snížený počet adres URL, které monitoruje, což pravděpodobně zlepší její možnosti utajení.

Napodobováním legitimních vzorů adres URL spojených s webovými službami Microsoft Exchange a OfficeTrack se tyto podvodné požadavky velmi podobají neškodnému provozu, takže je nesmírně obtížné je odlišit od legitimních požadavků.

Neustále se vyvíjející prostředí malwaru představuje v našem digitálním věku obrovskou a trvalou hrozbu. Malware není jen na obtíž, ale je to impozantní protivník schopný způsobit zmatek jednotlivcům, organizacím a dokonce i národům. Bdělost, vzdělávání a robustní opatření v oblasti kybernetické bezpečnosti jsou naší nejlepší obranou proti této neúprosné hrozbě. Zůstat informován a osvojit si osvědčené postupy v oblasti online bezpečnosti není jen volba; je to nutnost při ochraně našich digitálních životů a zachování integrity našeho propojeného světa.