بدافزار HTTPSnoop
موجی از حملات سایبری که ارائه دهندگان خدمات مخابراتی در خاورمیانه را هدف قرار می دهد با استقرار گونه های بدافزار جدید موسوم به HTTPSnoop و PipeSnoop مرتبط است. این ابزارهای تهدید کننده، عوامل تهدید را قادر می سازد تا کنترل از راه دور بر روی دستگاه های در معرض خطر به دست آورند.
بدافزار HTTPSnoop از درایورها و دستگاههای هسته HTTP ویندوز برای اجرای محتوای خاص در نقاط انتهایی آلوده از طریق URLهای HTTP(S) استفاده میکند. از سوی دیگر، PipeSnoop برای دریافت و اجرای کدهای پوسته دلخواه از طریق یک لوله با نام طراحی شده است.
طبق گزارشی که توسط محققان امنیت سایبری منتشر شده است که با موفقیت این کمپین حمله را کشف کردند، HTTPSnoop و PipeSnoop هر دو به یک گروه نفوذی نسبت داده می شوند که به عنوان "ShroudedSnooper" شناخته می شود. با این حال، این دو تهدید از نظر سطح نفوذ، اهداف عملیاتی متفاوتی را دنبال میکنند.
بدافزار HTTPSnoop اقدامات تخصصی را برای مهاجمان انجام می دهد
HTTPSnoop از APIهای سطح پایین ویندوز برای نظارت بر ترافیک HTTP(S) در دستگاه آلوده استفاده می کند، به طور خاص URL های از پیش تعریف شده را هدف قرار می دهد. پس از شناسایی این URL ها، بدافزار اقدام به رمزگشایی داده های کدگذاری شده با base64 دریافتی از آنها می کند و آن را به عنوان یک کد پوسته روی میزبان در معرض خطر اجرا می کند.
این ایمپلنت ناایمن که از طریق ربودن DLL بر روی سیستم هدف فعال میشود، شامل دو جزء کلیدی است: اول، کد پوسته مرحله 2، مسئول راهاندازی یک سرور وب پشتی از طریق فراخوانی هسته، و دوم، پیکربندی آن.
HTTPSnoop یک حلقه شنیداری ایجاد میکند و صبورانه منتظر درخواستهای HTTP ورودی است و دادههای معتبر را به محض ورود آنها پردازش میکند. در مواردی که داده های دریافتی معتبر نیستند، بدافزار یک تغییر مسیر HTTP 302 را برمی گرداند.
پس از رمزگشایی پوستهکد دریافتی، به سرعت اجرا میشود و نتایج اجرا در قالب بلوکهای داده کدگذاری شده با کد XOR با کد base64 به مهاجمان ارسال میشود.
علاوه بر این، این ایمپلنت اقدامات احتیاطی را برای جلوگیری از تداخل با URL های پیکربندی شده قبلی روی سرور انجام می دهد و از عملکرد روان و بدون درگیری ناخواسته اطمینان حاصل می کند.
کارشناسان چندین نوع بدافزار HTTPSnoop را کشف کرده اند
سه نوع متمایز از HTTPSnoop تاکنون مشاهده شده است که هر کدام از الگوهای گوش دادن به URL منحصر به فرد استفاده می کنند. نوع اول درخواستهای عمومی مبتنی بر URL HTTP را نظارت میکند، در حالی که نوع دوم روی URLهایی تمرکز میکند که سرویس وب Microsoft Exchange را تقلید میکنند. در همین حال، نوع سوم، URL هایی را هدف قرار می دهد که از LBS/OfficeTrack و برنامه های تلفن OfficeCore تقلید می کنند.
این گونهها در آوریل 2023 کشف شدند، و بهویژه، جدیدترین آنها دارای تعداد کمتری از URLهایی است که نظارت میکند و احتمالاً قابلیتهای پنهانکاری آن را افزایش میدهد.
با تقلید از الگوهای URL قانونی مرتبط با Microsoft Exchange Web Services و OfficeTrack، این درخواست های جعلی شباهت زیادی به ترافیک خوش خیم دارند و تشخیص آنها از درخواست های قانونی بسیار چالش برانگیز است.
چشم انداز همیشه در حال تکامل بدافزارها تهدیدی هولناک و پایدار در عصر دیجیتال ما است. بدافزار صرفاً یک مزاحم نیست، بلکه یک دشمن بزرگ است که قادر است افراد، سازمانها و حتی ملتها را ویران کند. هوشیاری، آموزش و اقدامات قوی امنیت سایبری بهترین دفاع ما در برابر این تهدید بی امان است. آگاه ماندن و اتخاذ بهترین شیوه ها در امنیت آنلاین فقط یک انتخاب نیست. این یک ضرورت در حفاظت از زندگی دیجیتال ما و حفظ یکپارچگی دنیای به هم پیوسته ما است.