HTTPSnoop Malware

Val kibernetičkih napada usmjerenih na pružatelje telekomunikacijskih usluga na Bliskom istoku povezan je s uvođenjem novih vrsta zlonamjernog softvera poznatih kao HTTPSnoop i PipeSnoop. Ovi prijeteći alati omogućuju akterima prijetnji da dobiju daljinsku kontrolu nad ugroženim uređajima.

Zlonamjerni softver HTTPSnoop iskorištava Windows HTTP upravljačke programe i uređaje za izvršavanje određenog sadržaja na zaraženim krajnjim točkama putem HTTP(S) URL-ova. S druge strane, PipeSnoop je dizajniran za primanje i izvršavanje proizvoljnih shellcodeova kroz imenovani kanal.

Prema izvješću koje su izdali istraživači kibernetičke sigurnosti koji su uspješno otkrili ovu kampanju napada, i HTTPSnoop i PipeSnoop pripisuju se istoj skupini upada, identificiranoj kao 'ShroudedSnooper'. Međutim, dvije prijetnje služe različitim operativnim svrhama u smislu njihove razine infiltracije.

Zlonamjerni softver HTTPSnoop izvodi specijalizirane radnje za napadače

HTTPSnoop koristi Windows API-je niske razine za praćenje HTTP(S) prometa na zaraženom uređaju, posebno ciljajući unaprijed definirane URL-ove. Nakon otkrivanja tih URL-ova, zlonamjerni softver nastavlja s dekodiranjem dolaznih base64 kodiranih podataka s njih i izvršava ih kao shellcode na kompromitiranom hostu.

Ovaj nesiguran implantat, aktiviran na ciljnom sustavu putem otmice DLL-a, sastoji se od dvije ključne komponente: prvo, shellcode faze 2, odgovoran za postavljanje backdoor web poslužitelja putem poziva kernela, i drugo, njegovu konfiguraciju.

HTTPSnoop uspostavlja petlju slušanja, strpljivo čekajući dolazne HTTP zahtjeve i učinkovito obrađuje važeće podatke po njihovom dolasku. U slučajevima kada dolazni podaci nisu valjani, zlonamjerni softver vraća HTTP 302 preusmjeravanje.

Nakon dešifriranja primljenog shellcodea, on se odmah izvršava, a rezultati izvršenja šalju se natrag napadačima u obliku base64-kodiranih XOR-kodiranih blokova podataka.

Osim toga, ovaj implantat poduzima mjere opreza kako bi se izbjegle sukobe s prethodno konfiguriranim URL-ovima na poslužitelju, osiguravajući nesmetan rad bez nenamjernih sukoba.

Stručnjaci su otkrili nekoliko HTTPSnoop varijanti zlonamjernog softvera

Do sada su promatrane tri različite varijante HTTPSnoopa od kojih svaka koristi jedinstvene obrasce slušanja URL-a. Prva varijanta prati općenite zahtjeve koji se temelje na HTTP URL-u, dok se druga varijanta fokusira na URL-ove koji oponašaju Microsoft Exchange Web Service. Treća varijanta, u međuvremenu, cilja na URL-ove koji oponašaju OfficeCore LBS/OfficeTrack i telefonske aplikacije.

Ove su varijante otkrivene u travnju 2023., a posebice najnovija ima smanjeni broj URL-ova koje nadzire, što će vjerojatno poboljšati njezine mogućnosti prikrivanja.

Oponašanjem legitimnih URL obrazaca povezanih s web-uslugama Microsoft Exchange i OfficeTrackom, ovi lažni zahtjevi vrlo nalikuju benignom prometu, zbog čega je njihovo razlikovanje od legitimnih zahtjeva izuzetno teško.

Krajolik zlonamjernog softvera koji se stalno razvija predstavlja ogromnu i postojanu prijetnju u našem digitalnom dobu. Zlonamjerni softver nije samo smetnja, već i zastrašujući protivnik sposoban izazvati pustoš kod pojedinaca, organizacija, pa čak i naroda. Budnost, obrazovanje i snažne mjere kibernetičke sigurnosti naša su najbolja obrana od ove nemilosrdne prijetnje. Održavanje informacija i usvajanje najboljih praksi u online sigurnosti nije samo izbor; to je nužnost u zaštiti naših digitalnih života i očuvanju integriteta našeg međusobno povezanog svijeta.