Κακόβουλο λογισμικό HTTPSnoop
Ένα κύμα κυβερνοεπιθέσεων που στοχεύουν παρόχους τηλεπικοινωνιακών υπηρεσιών στη Μέση Ανατολή έχει συνδεθεί με την ανάπτυξη νέων στελεχών κακόβουλου λογισμικού γνωστών ως HTTPSnoop και PipeSnoop. Αυτά τα απειλητικά εργαλεία επιτρέπουν στους παράγοντες απειλών να αποκτήσουν απομακρυσμένο έλεγχο σε παραβιασμένες συσκευές.
Το κακόβουλο λογισμικό HTTPSnoop αξιοποιεί προγράμματα οδήγησης και συσκευές πυρήνα HTTP των Windows για την εκτέλεση συγκεκριμένου περιεχομένου σε μολυσμένα τελικά σημεία μέσω διευθύνσεων URL HTTP(S). Από την άλλη πλευρά, το PipeSnoop έχει σχεδιαστεί για να λαμβάνει και να εκτελεί αυθαίρετους κώδικες κελύφους μέσω ενός επώνυμου σωλήνα.
Σύμφωνα με μια αναφορά που εκδόθηκε από ερευνητές κυβερνοασφάλειας που αποκάλυψαν με επιτυχία αυτήν την εκστρατεία επίθεσης, τόσο το HTTPSnoop όσο και το PipeSnoop αποδίδονται στην ίδια ομάδα εισβολής, που προσδιορίζεται ως "ShroudedSnooper". Ωστόσο, οι δύο απειλές εξυπηρετούν διαφορετικούς επιχειρησιακούς σκοπούς όσον αφορά το επίπεδο διείσδυσής τους.
Το κακόβουλο λογισμικό HTTPSnoop εκτελεί εξειδικευμένες ενέργειες για τους εισβολείς
Το HTTPSnoop χρησιμοποιεί χαμηλού επιπέδου API των Windows για την παρακολούθηση της κυκλοφορίας HTTP(S) σε μια μολυσμένη συσκευή, στοχεύοντας συγκεκριμένα προκαθορισμένες διευθύνσεις URL. Με τον εντοπισμό αυτών των διευθύνσεων URL, το κακόβουλο λογισμικό προχωρά στην αποκωδικοποίηση των εισερχόμενων δεδομένων που έχουν κωδικοποιηθεί από το base64 και τα εκτελεί ως κώδικας φλοιού στον παραβιασμένο κεντρικό υπολογιστή.
Αυτό το μη ασφαλές εμφύτευμα, που ενεργοποιείται στο σύστημα προορισμού μέσω πειρατείας DLL, περιλαμβάνει δύο βασικά στοιχεία: πρώτον, τον κέλυφος του σταδίου 2, υπεύθυνος για τη ρύθμιση ενός διακομιστή Web backdoor μέσω κλήσεων πυρήνα, και δεύτερον, τη διαμόρφωσή του.
Το HTTPSnoop δημιουργεί έναν βρόχο ακρόασης, περιμένοντας υπομονετικά τα εισερχόμενα αιτήματα HTTP και επεξεργάζεται αποτελεσματικά έγκυρα δεδομένα κατά την άφιξή τους. Σε περιπτώσεις που τα εισερχόμενα δεδομένα δεν είναι έγκυρα, το κακόβουλο λογισμικό επιστρέφει μια ανακατεύθυνση HTTP 302.
Μετά την αποκρυπτογράφηση του ληφθέντος κώδικα κελύφους, εκτελείται αμέσως και τα αποτελέσματα της εκτέλεσης μεταδίδονται πίσω στους εισβολείς με τη μορφή μπλοκ δεδομένων κωδικοποιημένων με βάση το 64 XOR.
Επιπλέον, αυτό το εμφύτευμα λαμβάνει προφυλάξεις για την αποφυγή διενέξεων με προηγούμενα διαμορφωμένες διευθύνσεις URL στον διακομιστή, διασφαλίζοντας την ομαλή λειτουργία χωρίς ακούσιες συγκρούσεις.
Οι ειδικοί έχουν αποκαλύψει αρκετές παραλλαγές κακόβουλου λογισμικού HTTPSnoop
Υπάρχουν τρεις διαφορετικές παραλλαγές του HTTPSnoop που έχουν παρατηρηθεί μέχρι στιγμής, με κάθε μία να χρησιμοποιεί μοναδικά μοτίβα ακρόασης URL. Η πρώτη παραλλαγή παρακολουθεί γενικά αιτήματα που βασίζονται σε URL HTTP, ενώ η δεύτερη παραλλαγή εστιάζει σε διευθύνσεις URL που μιμούνται την Υπηρεσία Ιστού του Microsoft Exchange. Η τρίτη παραλλαγή, εν τω μεταξύ, στοχεύει διευθύνσεις URL που μιμούνται τις εφαρμογές LBS/OfficeTrack και τηλεφωνίας του OfficeCore.
Αυτές οι παραλλαγές ανακαλύφθηκαν τον Απρίλιο του 2023 και συγκεκριμένα, η πιο πρόσφατη έχει μειωμένο αριθμό διευθύνσεων URL που παρακολουθεί, πιθανόν να βελτιώσει τις δυνατότητές της για μυστικότητα.
Μιμούμενοι τα νόμιμα μοτίβα διευθύνσεων URL που σχετίζονται με τις Υπηρεσίες Ιστού του Microsoft Exchange και το OfficeTrack, αυτά τα δόλια αιτήματα μοιάζουν πολύ με καλοήθη κίνηση, καθιστώντας εξαιρετικά δύσκολη τη διάκρισή τους από τα νόμιμα αιτήματα.
Το συνεχώς εξελισσόμενο τοπίο του κακόβουλου λογισμικού αποτελεί μια τρομερή και επίμονη απειλή στην ψηφιακή εποχή μας. Το κακόβουλο λογισμικό δεν είναι απλώς μια ενόχληση, αλλά ένας τρομερός αντίπαλος ικανός να προκαλέσει όλεθρο σε άτομα, οργανισμούς, ακόμη και έθνη. Η επαγρύπνηση, η εκπαίδευση και τα ισχυρά μέτρα κυβερνοασφάλειας είναι οι καλύτερες άμυνές μας έναντι αυτής της αδυσώπητης απειλής. Η ενημέρωση και η υιοθέτηση βέλτιστων πρακτικών στον τομέα της διαδικτυακής ασφάλειας δεν είναι απλώς μια επιλογή. είναι μια αναγκαιότητα για τη διαφύλαξη της ψηφιακής μας ζωής και τη διατήρηση της ακεραιότητας του διασυνδεδεμένου κόσμου μας.
