HTTPSnoop pahavara

Lähis-Ida telekommunikatsiooniteenuste pakkujatele suunatud küberrünnakute laine on seostatud uute pahavaratüvede, mida tuntakse HTTPSnoopi ja PipeSnoopi, kasutuselevõtuga. Need ähvardavad tööriistad võimaldavad ohus osalejatel saada ohustatud seadmete üle kaugjuhtimise.

HTTPSnoopi pahavara kasutab Windowsi HTTP-kerneli draivereid ja seadmeid, et käivitada nakatunud lõpp-punktides spetsiifiline sisu HTTP(S) URL-ide kaudu. Teisest küljest on PipeSnoop loodud suvaliste shellkoodide vastuvõtmiseks ja käivitamiseks nimega toru kaudu.

Selle ründekampaania edukalt avastanud küberjulgeolekuteadlaste koostatud raporti kohaselt omistatakse nii HTTPSnoop kui ka PipeSnoop samale sissetungirühmale, mida nimetatakse "ShroudedSnooperiks". Nendel kahel ohul on aga sissetungimise taseme poolest erinevad operatiivsed eesmärgid.

HTTPSnoopi pahavara teeb ründajate jaoks spetsiaalseid toiminguid

HTTPSnoop kasutab madala tasemega Windowsi API-sid, et jälgida HTTP(S) liiklust nakatunud seadmes, sihtides konkreetselt eelmääratletud URL-e. Nende URL-ide tuvastamisel dekodeerib pahavara neist sissetulevad base64-kodeeringuga andmed ja käivitab need ohustatud hostis shellkoodina.

See ebaturvaline implantaat, mis aktiveeriti sihtsüsteemis DLL-i kaaperdamise kaudu, koosneb kahest põhikomponendist: esiteks 2. etapi shellkood, mis vastutab tagaukse veebiserveri seadistamise eest kerneli kõnede kaudu, ja teiseks selle konfiguratsioon.

HTTPSnoop loob kuulamisahela, ootab kannatlikult sissetulevaid HTTP-päringuid ja töötleb tõhusalt kehtivaid andmeid nende saabumisel. Juhtudel, kui sissetulevad andmed ei kehti, tagastab pahavara HTTP 302 ümbersuunamise.

Vastuvõetud shellkoodi dekrüpteerimisel käivitatakse see viivitamatult ja täitmistulemused edastatakse ründajatele tagasi base64-kodeeringuga XOR-kodeeritud andmeplokkide kujul.

Lisaks võtab see implantaat ettevaatusabinõusid, et vältida konflikte serveris varem konfigureeritud URL-idega, tagades sujuva töö ilma tahtmatute kokkupõrgeteta.

Eksperdid on avastanud mitu HTTPSnoopi pahavara varianti

Seni on täheldatud kolme erinevat HTTPSnoopi varianti, millest igaüks kasutab ainulaadseid URL-i kuulamismustreid. Esimene variant jälgib üldisi HTTP URL-ipõhiseid päringuid, samas kui teine variant keskendub URL-idele, mis jäljendavad Microsoft Exchange'i veebiteenust. Kolmas variant sihib aga URL-e, mis emuleerivad OfficeCore'i LBS/OfficeTracki ja telefonirakendusi.

Need variandid avastati 2023. aasta aprillis ja kõige uuemal on vähendatud jälgitavate URL-ide arv, mis tõenäoliselt suurendab selle varjamisvõimalusi.

Imiteerides Microsoft Exchange'i veebiteenuste ja OfficeTrackiga seotud seaduslikke URL-i mustreid, sarnanevad need petturlikud päringud väga healoomulise liiklusega, mistõttu on nende eristamine õigustatud päringutest äärmiselt keeruline.

Pidevalt arenev pahavara maastik kujutab meie digitaalajastul tohutut ja püsivat ohtu. Pahavara ei ole pelgalt häiriv, vaid ka hirmuäratav vastane, mis võib üksikisikuid, organisatsioone ja isegi riike hävitada. Valvsus, haridus ja jõulised küberjulgeolekumeetmed on meie parim kaitse selle järeleandmatu ohu vastu. Veebiturbe vallas kursis püsimine ja parimate tavade kasutuselevõtt ei ole lihtsalt valik; see on vajalik meie digitaalse elu kaitsmiseks ja meie omavahel seotud maailma terviklikkuse säilitamiseks.