HTTPSnoop kenkėjiška programa

Kibernetinių atakų banga, nukreipta į telekomunikacijų paslaugų teikėjus Artimuosiuose Rytuose, buvo susijusi su naujų kenkėjiškų programų, žinomų kaip HTTPSnoop ir PipeSnoop, diegimu. Šios grėsmingos priemonės leidžia grėsmės subjektams nuotoliniu būdu valdyti pažeistus įrenginius.

HTTPSnoop kenkėjiška programa naudoja Windows HTTP branduolio tvarkykles ir įrenginius, kad vykdytų konkretų turinį užkrėstuose galutiniuose taškuose per HTTP(S) URL. Kita vertus, „PipeSnoop“ yra sukurta priimti ir vykdyti savavališkus apvalkalo kodus per pavadintą vamzdį.

Remiantis kibernetinio saugumo tyrėjų, kurie sėkmingai atskleidė šią atakų kampaniją, ataskaitoje, HTTPSnoop ir PipeSnoop yra priskirti tai pačiai įsilaužimo grupei, identifikuojamai kaip „ShroudedSnooper“. Tačiau šios dvi grėsmės turi skirtingus veiklos tikslus, atsižvelgiant į jų įsiskverbimo lygį.

HTTPSnoop kenkėjiška programa užpuolikams atlieka specialius veiksmus

HTTPSnoop naudoja žemo lygio Windows API, kad galėtų stebėti HTTP(S) srautą užkrėstame įrenginyje, konkrečiai taikydamas pagal iš anksto nustatytus URL. Aptikusi šiuos URL, kenkėjiška programa iššifruoja iš jų gaunamus base64 koduotus duomenis ir paleidžia juos kaip apvalkalo kodą pažeistoje priegloboje.

Šis nesaugus implantas, aktyvuotas tikslinėje sistemoje per DLL užgrobimą, susideda iš dviejų pagrindinių komponentų: pirma, 2 pakopos apvalkalo kodo, atsakingo už užpakalinių durų tinklo serverio nustatymą naudojant branduolio iškvietimus, ir, antra, jo konfigūraciją.

HTTPSnoop sukuria klausymosi ciklą, kantriai laukia įeinančių HTTP užklausų ir efektyviai apdoroja galiojančius duomenis jiems atvykus. Tais atvejais, kai gaunami duomenys negalioja, kenkėjiška programa grąžina HTTP 302 peradresavimą.

Iššifravus gautą apvalkalo kodą, jis operatyviai vykdomas, o vykdymo rezultatai perduodami atgal užpuolikams base64 koduotų XOR koduotų duomenų blokų pavidalu.

Be to, šis implantas imasi atsargumo priemonių, kad būtų išvengta konfliktų su anksčiau sukonfigūruotais URL serveryje, užtikrinant sklandų veikimą be netyčinių susidūrimų.

Ekspertai atskleidė keletą HTTPSnoop kenkėjiškų programų variantų

Iki šiol buvo pastebėti trys skirtingi HTTPSnoop variantai, kurių kiekviename naudojami unikalūs URL klausymo modeliai. Pirmasis variantas stebi bendrąsias HTTP URL užklausas, o antrasis variantas orientuojasi į URL, kurie imituoja „Microsoft Exchange Web Service“. Tuo tarpu trečiasis variantas taikomas URL, kurie imituoja „OfficeCore“ LBS / „OfficeTrack“ ir telefonijos programas.

Šie variantai buvo aptikti 2023 m. balandžio mėn., o naujausiame yra mažesnis stebimų URL skaičius, todėl gali padidėti slaptumo galimybės.

Imituojant teisėtus URL šablonus, susijusius su „Microsoft Exchange Web Services“ ir „OfficeTrack“, šios apgaulingos užklausos labai primena nekenksmingą srautą, todėl jas atskirti nuo teisėtų užklausų yra nepaprastai sudėtinga.

Nuolat besivystantis kenkėjiškų programų peizažas mūsų skaitmeniniame amžiuje kelia didžiulę ir nuolatinę grėsmę. Kenkėjiška programa yra ne tik nepatogumas, bet ir didžiulis priešas, galintis pridaryti chaosą asmenims, organizacijoms ir net tautoms. Budrumas, švietimas ir patikimos kibernetinio saugumo priemonės yra geriausia mūsų apsauga nuo šios negailestingos grėsmės. Informacijos laikymasis ir geriausios internetinės saugos praktikos taikymas nėra tik pasirinkimas; tai būtina norint apsaugoti mūsų skaitmeninį gyvenimą ir išsaugoti mūsų tarpusavyje susieto pasaulio vientisumą.