HTTPSnoop-haittaohjelma

Lähi-idän tietoliikennepalvelujen tarjoajiin kohdistuva kyberhyökkäysten aalto on yhdistetty uusien HTTPSnoop- ja PipeSnoop-haittaohjelmien käyttöönottoon. Nämä uhkaavat työkalut antavat uhkatekijöille mahdollisuuden saada vaarantuneiden laitteiden etähallinta.

HTTPSnoop-haittaohjelma hyödyntää Windowsin HTTP-ytimen ohjaimia ja laitteita tietyn sisällön suorittamiseksi tartunnan saaneissa päätepisteissä HTTP(S)-URL-osoitteiden kautta. Toisaalta PipeSnoop on suunniteltu vastaanottamaan ja suorittamaan mielivaltaisia shell-koodeja nimetyn putken kautta.

Tämän hyökkäyskampanjan onnistuneesti paljastaneiden kyberturvallisuustutkijoiden julkaiseman raportin mukaan sekä HTTPSnoop että PipeSnoop liittyvät samaan tunkeutumisryhmään, joka on tunnistettu nimellä "ShroudedSnooper". Nämä kaksi uhkaa palvelevat kuitenkin eri toiminnallisia tarkoituksia soluttautumisen tason suhteen.

HTTPSnoop-haittaohjelma suorittaa erikoistoimia hyökkääjille

HTTPSnoop käyttää matalan tason Windows-sovellusliittymiä valvomaan HTTP(S)-liikennettä tartunnan saaneessa laitteessa, kohdistaen erityisesti ennalta määritettyihin URL-osoitteisiin. Havaittuaan nämä URL-osoitteet haittaohjelma purkaa niistä saapuvan base64-koodatun datan ja suorittaa sen kuorikoodina vaarantuneessa isännässä.

Tämä vaarallinen implantti, joka aktivoitiin kohdejärjestelmässä DLL-kaappauksen kautta, sisältää kaksi avainkomponenttia: ensinnäkin vaiheen 2 shell-koodin, joka vastaa takaoven Web-palvelimen määrittämisestä ytimen kutsujen avulla, ja toiseksi sen kokoonpanon.

HTTPSnoop perustaa kuuntelusilmukan, joka odottaa kärsivällisesti saapuvia HTTP-pyyntöjä ja käsittelee tehokkaasti kelvollisia tietoja niiden saapuessa. Tapauksissa, joissa saapuvat tiedot eivät ole kelvollisia, haittaohjelma palauttaa HTTP 302 -uudelleenohjauksen.

Kun vastaanotettu shellkoodi on purettu, se suoritetaan välittömästi ja suoritustulokset lähetetään takaisin hyökkääjille base64-koodattujen XOR-koodattujen tietolohkojen muodossa.

Lisäksi tämä implantti ryhtyy varotoimiin välttääkseen ristiriidat palvelimella aiemmin määritettyjen URL-osoitteiden kanssa, mikä varmistaa sujuvan toiminnan ilman tahattomia yhteentörmäyksiä.

Asiantuntijat ovat löytäneet useita HTTPSnoop-haittaohjelmien muunnelmia

HTTPSnoopista on tähän mennessä havaittu kolme erilaista muunnelmaa, joista jokainen käyttää ainutlaatuisia URL-kuuntelumalleja. Ensimmäinen variantti valvoo yleisiä HTTP-URL-pohjaisia pyyntöjä, kun taas toinen variantti keskittyy URL-osoitteisiin, jotka jäljittelevät Microsoft Exchange Web Service -palvelua. Kolmas variantti puolestaan kohdistaa URL-osoitteisiin, jotka emuloivat OfficeCoren LBS/OfficeTrack- ja puhelinsovelluksia.

Nämä muunnelmat löydettiin huhtikuussa 2023, ja uusimmalla on pienempi määrä valvomia URL-osoitteita, mikä todennäköisesti parantaa sen salaamiskykyä.

Jäljittelemällä Microsoft Exchange Web Servicesiin ja OfficeTrackiin liittyviä laillisia URL-malleja, nämä vilpilliset pyynnöt muistuttavat läheisesti hyvänlaatuista liikennettä, mikä tekee niiden erottamisesta laillisista pyynnöistä erittäin haastavaa.

Jatkuvasti kehittyvä haittaohjelmien maisema muodostaa valtavan ja jatkuvan uhan digitaaliaikakautemme. Haittaohjelmat eivät ole vain haitta, vaan myös valtava vastustaja, joka pystyy aiheuttamaan tuhoa yksilöille, organisaatioille ja jopa kansakunnille. Valppaus, koulutus ja vahvat kyberturvallisuustoimenpiteet ovat paras suojamme tätä säälimätöntä uhkaa vastaan. Tietojen pitäminen ja parhaiden käytäntöjen ottaminen käyttöön verkkoturvallisuuden alalla ei ole vain valinta; se on välttämätön digitaalisen elämämme turvaamiseksi ja toisiinsa liittyvän maailmamme eheyden säilyttämiseksi.