HTTPSnoop मैलवेयर
मध्य पूर्व में दूरसंचार सेवा प्रदाताओं को लक्षित करने वाले साइबर हमलों की एक लहर को HTTPSnoop और PipeSnoop के नाम से जाने जाने वाले नए मैलवेयर स्ट्रेन की तैनाती से जोड़ा गया है। ये धमकी देने वाले उपकरण खतरे वाले अभिनेताओं को समझौता किए गए उपकरणों पर रिमोट कंट्रोल हासिल करने में सक्षम बनाते हैं।
HTTPSnoop मैलवेयर HTTP(S) URL के माध्यम से संक्रमित एंडपॉइंट पर विशिष्ट सामग्री को निष्पादित करने के लिए Windows HTTP कर्नेल ड्राइवरों और उपकरणों का लाभ उठाता है। दूसरी ओर, PipeSnoop को नामित पाइप के माध्यम से मनमाने ढंग से शेलकोड प्राप्त करने और निष्पादित करने के लिए डिज़ाइन किया गया है।
इस हमले के अभियान को सफलतापूर्वक उजागर करने वाले साइबर सुरक्षा शोधकर्ताओं द्वारा जारी एक रिपोर्ट के अनुसार, HTTPSnoop और PipeSnoop दोनों को एक ही घुसपैठ समूह के लिए जिम्मेदार ठहराया गया है, जिसे 'ShroudedSnooper' के रूप में पहचाना गया है। हालाँकि, दोनों खतरे अपने घुसपैठ के स्तर के संदर्भ में अलग-अलग परिचालन उद्देश्यों को पूरा करते हैं।
HTTPSnoop मैलवेयर हमलावरों के लिए विशेष कार्य करता है
HTTPSnoop किसी संक्रमित डिवाइस पर HTTP(S) ट्रैफ़िक की निगरानी के लिए निम्न-स्तरीय Windows API का उपयोग करता है, विशेष रूप से पूर्वनिर्धारित URL को लक्षित करता है। इन यूआरएल का पता लगाने पर, मैलवेयर उनसे आने वाले बेस 64-एन्कोडेड डेटा को डीकोड करने के लिए आगे बढ़ता है और इसे समझौता किए गए होस्ट पर शेलकोड के रूप में निष्पादित करता है।
डीएलएल अपहरण के माध्यम से लक्ष्य प्रणाली पर सक्रिय इस असुरक्षित प्रत्यारोपण में दो प्रमुख घटक शामिल हैं: पहला, चरण 2 शेलकोड, कर्नेल कॉल के माध्यम से एक बैकडोर वेब सर्वर स्थापित करने के लिए जिम्मेदार, और दूसरा, इसका कॉन्फ़िगरेशन।
HTTPSnoop एक श्रवण लूप स्थापित करता है, आने वाले HTTP अनुरोधों का धैर्यपूर्वक इंतजार करता है, और उनके आगमन पर प्रभावी डेटा को कुशलतापूर्वक संसाधित करता है। ऐसे मामलों में जहां आने वाला डेटा मान्य नहीं है, मैलवेयर HTTP 302 रीडायरेक्ट लौटाता है।
प्राप्त शेलकोड के डिक्रिप्शन पर, इसे तुरंत निष्पादित किया जाता है, और निष्पादन परिणाम बेस 64-एन्कोडेड एक्सओआर-एनकोडेड डेटा ब्लॉक के रूप में हमलावरों को वापस प्रेषित किया जाता है।
इसके अतिरिक्त, यह इम्प्लांट सर्वर पर पहले से कॉन्फ़िगर किए गए यूआरएल के साथ टकराव से बचने के लिए सावधानी बरतता है, जिससे अनजाने टकराव के बिना सुचारू संचालन सुनिश्चित होता है।
विशेषज्ञों ने कई HTTPSnoop मैलवेयर वेरिएंट का खुलासा किया है
अब तक HTTPSnoop के तीन अलग-अलग प्रकार देखे गए हैं, जिनमें से प्रत्येक अद्वितीय URL सुनने के पैटर्न को नियोजित करता है। पहला संस्करण सामान्य HTTP यूआरएल-आधारित अनुरोधों पर नज़र रखता है, जबकि दूसरा संस्करण उन यूआरएल पर केंद्रित है जो माइक्रोसॉफ्ट एक्सचेंज वेब सेवा की नकल करते हैं। इस बीच, तीसरा संस्करण उन URL को लक्षित करता है जो OfficeCore के LBS/OfficeTrack और टेलीफोनी अनुप्रयोगों का अनुकरण करते हैं।
इन वेरिएंट्स को अप्रैल 2023 में खोजा गया था, और विशेष रूप से, सबसे हालिया वेरिएंट में मॉनिटर किए जाने वाले यूआरएल की संख्या कम हो गई है, जिससे इसकी गुप्त क्षमताओं में वृद्धि होने की संभावना है।
Microsoft एक्सचेंज वेब सेवाओं और OfficeTrack से जुड़े वैध URL पैटर्न की नकल करके, ये धोखाधड़ी वाले अनुरोध सौम्य ट्रैफ़िक से काफी मिलते-जुलते हैं, जिससे उन्हें वैध अनुरोधों से अलग करना बेहद चुनौतीपूर्ण हो जाता है।
मैलवेयर का लगातार विकसित हो रहा परिदृश्य हमारे डिजिटल युग में एक भयानक और लगातार खतरा बना हुआ है। मैलवेयर केवल एक उपद्रव नहीं है बल्कि एक दुर्जेय शत्रु है जो व्यक्तियों, संगठनों और यहां तक कि राष्ट्रों पर कहर बरपाने में सक्षम है। सतर्कता, शिक्षा और मजबूत साइबर सुरक्षा उपाय इस निरंतर खतरे के खिलाफ हमारा सबसे अच्छा बचाव हैं। सूचित रहना और ऑनलाइन सुरक्षा में सर्वोत्तम प्रथाओं को अपनाना केवल एक विकल्प नहीं है; यह हमारे डिजिटल जीवन की सुरक्षा और हमारी परस्पर जुड़ी दुनिया की अखंडता को संरक्षित करने के लिए एक आवश्यकता है।
