HTTPSnoop 악성코드

중동의 통신 서비스 제공업체를 대상으로 한 일련의 사이버 공격은 HTTPSnoop 및 PipeSnoop으로 알려진 새로운 악성 코드 변종의 배포와 관련이 있습니다. 이러한 위협 도구를 사용하면 위협 행위자가 손상된 장치를 원격으로 제어할 수 있습니다.

HTTPSnoop 악성코드는 Windows HTTP 커널 드라이버 및 장치를 활용하여 HTTP(S) URL을 통해 감염된 엔드포인트에서 특정 콘텐츠를 실행합니다. 반면 PipeSnoop은 명명된 파이프를 통해 임의의 쉘코드를 수신하고 실행하도록 설계되었습니다.

이 공격 캠페인을 성공적으로 발견한 사이버 보안 연구원이 발행한 보고서에 따르면 HTTPSnoop과 PipeSnoop은 모두 'ShroudedSnooper'로 식별된 동일한 침입 그룹에 속합니다. 그러나 두 위협은 침투 수준 측면에서 서로 다른 운영 목적을 제공합니다.

HTTPSnoop 악성 코드는 공격자를 위해 특수한 작업을 수행합니다.

HTTPSnoop은 낮은 수준의 Windows API를 사용하여 감염된 장치에서 특히 미리 정의된 URL을 대상으로 하는 HTTP(S) 트래픽을 모니터링합니다. 이러한 URL을 탐지하면 악성코드는 해당 URL에서 들어오는 base64 인코딩 데이터를 디코딩하고 손상된 호스트에서 이를 쉘코드로 실행합니다.

DLL 하이재킹을 통해 대상 시스템에서 활성화된 이 안전하지 않은 임플란트는 두 가지 주요 구성 요소로 구성됩니다. 첫 번째는 커널 호출을 통해 백도어 웹 서버를 설정하는 2단계 쉘코드이고 두 번째는 해당 구성입니다.

HTTPSnoop은 수신 루프를 설정하여 들어오는 HTTP 요청을 참을성 있게 기다리고 도착 시 유효한 데이터를 효율적으로 처리합니다. 들어오는 데이터가 유효하지 않은 경우 악성코드는 HTTP 302 리디렉션을 반환합니다.

수신된 쉘코드를 복호화하면 즉시 실행되며, 실행 결과는 Base64로 인코딩된 XOR로 인코딩된 데이터 블록 형태로 공격자에게 다시 전송됩니다.

또한 이 임플란트는 서버에서 이전에 구성된 URL과의 충돌을 방지하기 위해 예방 조치를 취하여 부주의한 충돌 없이 원활한 작동을 보장합니다.

전문가들이 여러 HTTPSnoop 악성 코드 변종을 발견했습니다

지금까지 관찰된 HTTPSnoop에는 각각 고유한 URL 수신 패턴을 사용하는 세 가지 변종이 있습니다. 첫 번째 변종은 일반적인 HTTP URL 기반 요청을 모니터링하는 반면, 두 번째 변종은 Microsoft Exchange 웹 서비스를 모방하는 URL에 중점을 둡니다. 한편 세 번째 변종은 OfficeCore의 LBS/OfficeTrack 및 전화 통신 애플리케이션을 에뮬레이트하는 URL을 대상으로 합니다.

이러한 변종은 2023년 4월에 발견되었으며, 특히 가장 최근 변종의 경우 모니터링하는 URL 수가 줄어들어 스텔스 기능이 향상될 가능성이 높습니다.

Microsoft Exchange 웹 서비스 및 OfficeTrack과 관련된 합법적인 URL 패턴을 모방함으로써 이러한 사기성 요청은 무해한 트래픽과 매우 유사하므로 합법적인 요청과 구별하기가 매우 어렵습니다.

끊임없이 진화하는 맬웨어 환경은 디지털 시대에 강력하고 지속적인 위협을 가하고 있습니다. 악성코드는 단순히 귀찮은 존재가 아니라 개인, 조직, 심지어 국가까지 파괴할 수 있는 강력한 적입니다. 경계, 교육 및 강력한 사이버 보안 조치는 이러한 끊임없는 위협에 대한 최선의 방어책입니다. 온라인 보안에 대한 최신 정보를 얻고 모범 사례를 채택하는 것은 단순한 선택이 아닙니다. 이는 우리의 디지털 생활을 보호하고 상호 연결된 세계의 무결성을 보존하는 데 필수적입니다.