HTTPSnoop rosszindulatú program

A közel-keleti telekommunikációs szolgáltatókat célzó kibertámadások hulláma összefüggésbe hozható a HTTPSnoop és PipeSnoop néven ismert új malware-törzsek bevezetésével. Ezek a fenyegető eszközök lehetővé teszik a fenyegetés szereplői számára, hogy távolról irányítsák a feltört eszközöket.

A HTTPSnoop rosszindulatú program a Windows HTTP kernel-illesztőprogramjait és eszközeit használja fel, hogy meghatározott tartalmat hajtson végre a fertőzött végpontokon HTTP(S) URL-eken keresztül. Másrészt a PipeSnoop-ot úgy tervezték, hogy tetszőleges shellkódokat fogadjon és hajtson végre egy elnevezett csövön keresztül.

A támadási kampányt sikeresen feltáró kiberbiztonsági kutatók által kiadott jelentés szerint mind a HTTPSnoop, mind a PipeSnoop ugyanahhoz a behatolási csoporthoz tartozik, amelyet „ShroudedSnooper” néven azonosítottak. A két fenyegetés azonban eltérő működési célokat szolgál a beszivárgás szintjét tekintve.

A HTTPSnoop rosszindulatú program speciális műveleteket hajt végre a támadók számára

A HTTPSnoop alacsony szintű Windows API-kat használ a HTTP(S) forgalom figyelésére a fertőzött eszközökön, konkrétan előre meghatározott URL-eket célozva meg. Ezen URL-ek észlelésekor a rosszindulatú program dekódolja a bejövő base64-kódolású adatokat, és shellkódként hajtja végre azokat a feltört gazdagépen.

Ez a nem biztonságos implantátum, amelyet a célrendszeren DLL-eltérítéssel aktiváltak, két kulcsfontosságú összetevőből áll: először is a 2. szakasz shellkódjából, amely a hátsó ajtó webszerverének kernelhívásokon keresztül történő beállításáért felelős, másodszor pedig a konfigurációjából.

A HTTPSnoop figyelő hurkot hoz létre, türelmesen várja a bejövő HTTP kéréseket, és hatékonyan dolgozza fel az érvényes adatokat azok érkezésekor. Azokban az esetekben, amikor a bejövő adatok nem érvényesek, a rosszindulatú program HTTP 302-es átirányítást ad vissza.

A kapott shellkód visszafejtése után azonnal lefut, és a végrehajtás eredményei base64 kódolású XOR kódolású adatblokkok formájában visszaküldésre kerülnek a támadóknak.

Ezenkívül ez az implantátum óvintézkedéseket tesz, hogy elkerülje a szerveren korábban konfigurált URL-címekkel való ütközést, biztosítva a zökkenőmentes működést véletlen ütközések nélkül.

A szakértők számos HTTPSnoop malware-változatot fedeztek fel

A HTTPSnoop három különböző változatát figyelték meg eddig, amelyek mindegyike egyedi URL-hallgatási mintákat alkalmaz. Az első változat az általános HTTP URL-alapú kéréseket figyeli, míg a második változat a Microsoft Exchange Web Service szolgáltatást utánzó URL-ekre összpontosít. A harmadik változat pedig az OfficeCore LBS/OfficeTrack és telefonos alkalmazásait emuláló URL-eket célozza meg.

Ezeket a változatokat 2023 áprilisában fedezték fel, és nevezetesen, a legújabb változatnak csökkentett számú figyelt URL-je van, ami valószínűleg javítja a lopakodó képességeit.

A Microsoft Exchange Web Serviceshez és az OfficeTrackhez társított legitim URL-minták utánzásával ezek a csalárd kérések nagyon hasonlítanak a jóindulatú forgalomra, így rendkívül nehéz megkülönböztetni őket a jogszerű kérésektől.

A rosszindulatú programok folyamatosan fejlődő környezete óriási és tartós fenyegetést jelent digitális korunkban. A rosszindulatú programok nem pusztán kellemetlenséget okoznak, hanem egy félelmetes ellenfélnek is, amely képes pusztítást okozni egyénekben, szervezetekben, sőt nemzeteken is. Az éberség, az oktatás és a határozott kiberbiztonsági intézkedések a legjobb védekezésünk e könyörtelen fenyegetés ellen. Az online biztonsággal kapcsolatos tájékozottság és a legjobb gyakorlatok átvétele nem csupán választás; ez elengedhetetlen digitális életünk védelme és összekapcsolt világunk integritásának megőrzése érdekében.