HTTPSnoop Malware

En bølge af cyberangreb rettet mod udbydere af telekommunikationstjenester i Mellemøsten er blevet forbundet med implementeringen af nye malware-stammer kendt som HTTPSnoop og PipeSnoop. Disse truende værktøjer gør det muligt for trusselsaktører at få fjernkontrol over kompromitterede enheder.

HTTPSnoop-malwaren udnytter Windows HTTP-kernedrivere og -enheder til at udføre specifikt indhold på inficerede slutpunkter via HTTP(S) URL'er. På den anden side er PipeSnoop designet til at modtage og udføre vilkårlige shellkoder gennem et navngivet rør.

Ifølge en rapport udstedt af cybersikkerhedsforskere, som med succes afslørede denne angrebskampagne, tilskrives både HTTPSnoop og PipeSnoop den samme indtrængen gruppe, identificeret som 'ShroudedSnooper'. De to trusler tjener dog forskellige operationelle formål med hensyn til deres infiltrationsniveau.

HTTPSnoop-malwaren udfører specialiserede handlinger for angriberne

HTTPSnoop anvender Windows API'er på lavt niveau til at overvåge HTTP(S)-trafik på en inficeret enhed, specifikt målrettet mod foruddefinerede URL'er. Efter at have fundet disse URL'er, fortsætter malwaren med at afkode indgående base64-kodede data fra dem og udføre dem som en shellcode på den kompromitterede vært.

Dette usikre implantat, aktiveret på målsystemet via DLL-kapring, består af to nøglekomponenter: for det første fase 2-shellkoden, der er ansvarlig for opsætning af en bagdørs webserver gennem kernekald, og for det andet dens konfiguration.

HTTPSnoop etablerer en lyttesløjfe, der tålmodigt afventer indkommende HTTP-anmodninger, og behandler effektivt gyldige data ved deres ankomst. I tilfælde, hvor indgående data ikke er gyldige, returnerer malwaren en HTTP 302-omdirigering.

Efter dekryptering af den modtagne shellkode udføres den omgående, og udførelsesresultaterne sendes tilbage til angriberne i form af base64-kodede XOR-kodede datablokke.

Derudover tager dette implantat forholdsregler for at undgå konflikter med tidligere konfigurerede URL'er på serveren, hvilket sikrer jævn drift uden utilsigtede sammenstød.

Eksperter har afsløret adskillige HTTPSnoop-malwarevarianter

Der er indtil videre observeret tre forskellige varianter af HTTPSnoop, hvor hver bruger unikke URL-lyttemønstre. Den første variant overvåger generelle HTTP URL-baserede anmodninger, mens den anden variant fokuserer på URL'er, der efterligner Microsoft Exchange Web Service. Den tredje variant er i mellemtiden rettet mod URL'er, der emulerer OfficeCores LBS/OfficeTrack og telefoniapplikationer.

Disse varianter blev opdaget i april 2023, og især har den seneste et reduceret antal URL'er, den overvåger, hvilket sandsynligvis vil forbedre dens stealth-funktioner.

Ved at efterligne legitime URL-mønstre, der er forbundet med Microsoft Exchange Web Services og OfficeTrack, minder disse svigagtige anmodninger meget om godartet trafik, hvilket gør det yderst udfordrende at skelne dem fra legitime anmodninger.

Det stadigt udviklende landskab af malware udgør en formidabel og vedvarende trussel i vores digitale tidsalder. Malware er ikke blot en plage, men en formidabel modstander, der er i stand til at skabe kaos på enkeltpersoner, organisationer og endda nationer. Årvågenhed, uddannelse og robuste cybersikkerhedsforanstaltninger er vores bedste forsvar mod denne ubarmhjertige trussel. At holde sig informeret og vedtage bedste praksis inden for onlinesikkerhed er ikke kun et valg; det er en nødvendighed for at beskytte vores digitale liv og bevare integriteten af vores indbyrdes forbundne verden.