תוכנות זדוניות של HTTPSnoop

גל של התקפות סייבר המכוונות לספקי שירותי טלקומוניקציה במזרח התיכון נקשר לפריסת זני תוכנות זדוניות חדשים הידועים כ-HTTPSnoop ו-PipeSnoop. הכלים המאיימים הללו מאפשרים לשחקני איומים להשיג שליטה מרחוק על מכשירים שנפגעו.

התוכנה הזדונית HTTPSnoop ממנפת מנהלי התקנים והתקני ליבת HTTP של Windows כדי להפעיל תוכן ספציפי בנקודות קצה נגועות באמצעות כתובות URL של HTTP(S). מצד שני, PipeSnoop נועד לקבל ולהפעיל קודי מעטפת שרירותיים דרך צינור עם שם.

לפי דו"ח שהוצא על ידי חוקרי אבטחת סייבר שחשפו בהצלחה את מסע התקיפה הזה, הן HTTPSnoop והן PipeSnoop מיוחסות לאותה קבוצת חדירה, המזוהה בשם 'ShroudedSnooper'. עם זאת, שני האיומים משרתים מטרות מבצעיות מובהקות מבחינת רמת החדירה שלהם.

התוכנה הזדונית של HTTPSnoop מבצעת פעולות מיוחדות עבור התוקפים

HTTPSnoop משתמש בממשקי Windows API ברמה נמוכה כדי לנטר תעבורת HTTP(S) במכשיר נגוע, תוך מיקוד ספציפי לכתובות URL מוגדרות מראש. לאחר זיהוי כתובות האתרים הללו, התוכנה הזדונית ממשיכה לפענח נתונים נכנסים המקודדים ב-base64 מהם ולהפעיל אותם כקוד מעטפת על המארח שנפרץ.

השתל הלא בטוח הזה, המופעל במערכת היעד באמצעות חטיפת DLL, מורכב משני מרכיבים מרכזיים: ראשית, קוד מעטפת שלב 2, האחראי על הקמת שרת אינטרנט בדלת אחורית באמצעות קריאות ליבה, ושנית, התצורה שלו.

HTTPSnoop יוצר לולאת האזנה, ממתין בסבלנות לבקשות HTTP נכנסות, ומעבד ביעילות נתונים חוקיים עם הגעתם. במקרים שבהם הנתונים הנכנסים אינם חוקיים, התוכנה הזדונית מחזירה הפניה מחדש של HTTP 302.

עם פענוח קוד המעטפת שהתקבל, הוא מבוצע באופן מיידי, ותוצאות הביצוע מועברות חזרה לתוקפים בצורה של בלוקי נתונים מקודדים ב-XOR.

בנוסף, שתל זה נוקט באמצעי זהירות כדי למנוע התנגשויות עם כתובות URL שהוגדרו בעבר בשרת, ומבטיח פעולה חלקה ללא התנגשויות בשוגג.

מומחים חשפו מספר גרסאות של תוכנות זדוניות של HTTPSnoop

עד כה נצפו שלוש גרסאות נפרדות של HTTPSnoop כאשר כל אחת מהן משתמשת בדפוסי האזנה ייחודיים של כתובת URL. הגרסה הראשונה עוקבת אחר בקשות כלליות מבוססות URL HTTP, בעוד שהגרסה השנייה מתמקדת בכתובות URL המחקות את שירות האינטרנט של Microsoft Exchange. הגרסה השלישית, בינתיים, מכוונת לכתובות URL המדמות את יישומי LBS/OfficeTrack וטלפוניה של OfficeCore.

גרסאות אלה התגלו באפריל 2023, ובמיוחד, לגרסה האחרונה יש מספר מופחת של כתובות אתרים שהיא מפקחת עליהן, ככל הנראה לשפר את יכולות ההתגנבות שלה.

על ידי חיקוי דפוסי URL לגיטימיים הקשורים לשירותי האינטרנט של Microsoft Exchange ול-OfficeTrack, בקשות הונאה אלו דומות מאוד לתנועה שפירה, מה שהופך את זה למאתגר מאוד להבחין בינן לבין בקשות לגיטימיות.

הנוף ההולך ומתפתח של תוכנות זדוניות מהווה איום אדיר ומתמשך בעידן הדיגיטלי שלנו. תוכנה זדונית היא לא רק מטרד אלא יריב אדיר המסוגל להמיט הרס על יחידים, ארגונים ואפילו מדינות. ערנות, חינוך ואמצעי אבטחת סייבר חזקים הם ההגנות הטובות ביותר שלנו נגד האיום הבלתי פוסק הזה. שמירה על מידע ואימוץ שיטות עבודה מומלצות באבטחה מקוונת היא לא רק בחירה; זה הכרחי בשמירה על חיינו הדיגיטליים ובשמירה על שלמות העולם המקושר הדדית שלנו.