بدافزار HTTPSnoop

موجی از حملات سایبری که ارائه دهندگان خدمات مخابراتی در خاورمیانه را هدف قرار می دهد با استقرار گونه های بدافزار جدید موسوم به HTTPSnoop و PipeSnoop مرتبط است. این ابزارهای تهدید کننده، عوامل تهدید را قادر می سازد تا کنترل از راه دور بر روی دستگاه های در معرض خطر به دست آورند.

بدافزار HTTPSnoop از درایورها و دستگاه‌های هسته HTTP ویندوز برای اجرای محتوای خاص در نقاط انتهایی آلوده از طریق URLهای HTTP(S) استفاده می‌کند. از سوی دیگر، PipeSnoop برای دریافت و اجرای کدهای پوسته دلخواه از طریق یک لوله با نام طراحی شده است.

طبق گزارشی که توسط محققان امنیت سایبری منتشر شده است که با موفقیت این کمپین حمله را کشف کردند، HTTPSnoop و PipeSnoop هر دو به یک گروه نفوذی نسبت داده می شوند که به عنوان "ShroudedSnooper" شناخته می شود. با این حال، این دو تهدید از نظر سطح نفوذ، اهداف عملیاتی متفاوتی را دنبال می‌کنند.

بدافزار HTTPSnoop اقدامات تخصصی را برای مهاجمان انجام می دهد

HTTPSnoop از APIهای سطح پایین ویندوز برای نظارت بر ترافیک HTTP(S) در دستگاه آلوده استفاده می کند، به طور خاص URL های از پیش تعریف شده را هدف قرار می دهد. پس از شناسایی این URL ها، بدافزار اقدام به رمزگشایی داده های کدگذاری شده با base64 دریافتی از آنها می کند و آن را به عنوان یک کد پوسته روی میزبان در معرض خطر اجرا می کند.

این ایمپلنت ناایمن که از طریق ربودن DLL بر روی سیستم هدف فعال می‌شود، شامل دو جزء کلیدی است: اول، کد پوسته مرحله 2، مسئول راه‌اندازی یک سرور وب پشتی از طریق فراخوانی هسته، و دوم، پیکربندی آن.

HTTPSnoop یک حلقه شنیداری ایجاد می‌کند و صبورانه منتظر درخواست‌های HTTP ورودی است و داده‌های معتبر را به محض ورود آنها پردازش می‌کند. در مواردی که داده های دریافتی معتبر نیستند، بدافزار یک تغییر مسیر HTTP 302 را برمی گرداند.

پس از رمزگشایی پوسته‌کد دریافتی، به سرعت اجرا می‌شود و نتایج اجرا در قالب بلوک‌های داده کدگذاری شده با کد XOR با کد base64 به مهاجمان ارسال می‌شود.

علاوه بر این، این ایمپلنت اقدامات احتیاطی را برای جلوگیری از تداخل با URL های پیکربندی شده قبلی روی سرور انجام می دهد و از عملکرد روان و بدون درگیری ناخواسته اطمینان حاصل می کند.

کارشناسان چندین نوع بدافزار HTTPSnoop را کشف کرده اند

سه نوع متمایز از HTTPSnoop تاکنون مشاهده شده است که هر کدام از الگوهای گوش دادن به URL منحصر به فرد استفاده می کنند. نوع اول درخواست‌های عمومی مبتنی بر URL HTTP را نظارت می‌کند، در حالی که نوع دوم روی URL‌هایی تمرکز می‌کند که سرویس وب Microsoft Exchange را تقلید می‌کنند. در همین حال، نوع سوم، URL هایی را هدف قرار می دهد که از LBS/OfficeTrack و برنامه های تلفن OfficeCore تقلید می کنند.

این گونه‌ها در آوریل 2023 کشف شدند، و به‌ویژه، جدیدترین آنها دارای تعداد کمتری از URLهایی است که نظارت می‌کند و احتمالاً قابلیت‌های پنهانکاری آن را افزایش می‌دهد.

با تقلید از الگوهای URL قانونی مرتبط با Microsoft Exchange Web Services و OfficeTrack، این درخواست های جعلی شباهت زیادی به ترافیک خوش خیم دارند و تشخیص آنها از درخواست های قانونی بسیار چالش برانگیز است.

چشم انداز همیشه در حال تکامل بدافزارها تهدیدی هولناک و پایدار در عصر دیجیتال ما است. بدافزار صرفاً یک مزاحم نیست، بلکه یک دشمن بزرگ است که قادر است افراد، سازمان‌ها و حتی ملت‌ها را ویران کند. هوشیاری، آموزش و اقدامات قوی امنیت سایبری بهترین دفاع ما در برابر این تهدید بی امان است. آگاه ماندن و اتخاذ بهترین شیوه ها در امنیت آنلاین فقط یک انتخاب نیست. این یک ضرورت در حفاظت از زندگی دیجیتال ما و حفظ یکپارچگی دنیای به هم پیوسته ما است.