HTTPSnoop ļaunprātīga programmatūra

Kiberuzbrukumu vilnis, kas vērsts pret telekomunikāciju pakalpojumu sniedzējiem Tuvajos Austrumos, ir saistīts ar jaunu ļaunprātīgas programmatūras celmu, kas pazīstami kā HTTPSnoop un PipeSnoop, izvietošanu. Šie draudu rīki ļauj apdraudējuma dalībniekiem iegūt tālvadību pār apdraudētām ierīcēm.

HTTPSnoop ļaunprogrammatūra izmanto Windows HTTP kodola draiverus un ierīces, lai izpildītu noteiktu saturu inficētos galapunktos, izmantojot HTTP(S) URL. No otras puses, PipeSnoop ir paredzēts, lai saņemtu un izpildītu patvaļīgus čaulas kodus, izmantojot nosauktu cauruli.

Saskaņā ar ziņojumu, ko izdevuši kiberdrošības pētnieki, kuri veiksmīgi atklāja šo uzbrukuma kampaņu, gan HTTPSnoop, gan PipeSnoop tiek attiecināti uz vienu un to pašu ielaušanās grupu, kas identificēta kā "ShroudedSnooper". Tomēr abiem draudiem ir atšķirīgi darbības mērķi to iefiltrēšanās līmeņa ziņā.

HTTPSnoop ļaunprogrammatūra veic īpašas darbības pret uzbrucējiem

HTTPSnoop izmanto zema līmeņa Windows API, lai pārraudzītu HTTP(S) trafiku inficētā ierīcē, īpaši mērķējot uz iepriekš definētiem URL. Atklājot šos vietrāžus URL, ļaunprātīgā programmatūra atšifrē no tiem ienākošos base64 kodētos datus un izpilda tos kā čaulas kodu apdraudētajā resursdatorā.

Šis nedrošais implants, kas aktivizēts mērķa sistēmā, izmantojot DLL nolaupīšanu, ietver divus galvenos komponentus: pirmkārt, 2. pakāpes čaulas kodu, kas atbild par aizmugures tīmekļa servera iestatīšanu, izmantojot kodola izsaukumus, un, otrkārt, tā konfigurāciju.

HTTPSnoop izveido klausīšanās cilpu, pacietīgi gaidot ienākošos HTTP pieprasījumus, un efektīvi apstrādā derīgus datus pēc to saņemšanas. Gadījumos, kad ienākošie dati nav derīgi, ļaunprātīga programmatūra atgriež HTTP 302 novirzīšanu.

Pēc saņemtā čaulas koda atšifrēšanas tas tiek nekavējoties izpildīts, un izpildes rezultāti tiek nosūtīti atpakaļ uzbrucējiem base64 kodētu XOR kodētu datu bloku veidā.

Turklāt šis implants veic piesardzības pasākumus, lai izvairītos no konfliktiem ar iepriekš konfigurētiem URL serverī, nodrošinot vienmērīgu darbību bez nejaušām sadursmēm.

Eksperti ir atklājuši vairākus HTTPSnoop ļaunprātīgas programmatūras variantus

Līdz šim ir novēroti trīs atšķirīgi HTTPSnoop varianti, un katrs izmanto unikālus URL klausīšanās modeļus. Pirmais variants uzrauga vispārīgus HTTP URL pieprasījumus, bet otrais variants koncentrējas uz vietrāžiem URL, kas atdarina Microsoft Exchange Web Service. Tikmēr trešais variants ir vērsts uz vietrāžiem URL, kas atdarina OfficeCore LBS/OfficeTrack un telefonijas lietojumprogrammas.

Šie varianti tika atklāti 2023. gada aprīlī, un jo īpaši jaunākajam ir samazināts pārraudzīto vietrāžu URL skaits, kas varētu uzlabot tā slepenās iespējas.

Atdarinot likumīgus URL modeļus, kas saistīti ar Microsoft Exchange Web Services un OfficeTrack, šie krāpnieciskie pieprasījumi ļoti atgādina labdabīgu trafiku, tāpēc to atšķiršana no likumīgiem pieprasījumiem ir ārkārtīgi sarežģīta.

Ļaunprātīgas programmatūras nepārtraukti mainīgā ainava mūsu digitālajā laikmetā rada milzīgus un pastāvīgus draudus. Ļaunprātīga programmatūra ir ne tikai traucēklis, bet arī milzīgs pretinieks, kas spēj nodarīt postu indivīdiem, organizācijām un pat valstīm. Modrība, izglītošana un stingri kiberdrošības pasākumi ir mūsu labākā aizsardzība pret šiem nerimstošajiem draudiem. Informētība un labākās prakses pārņemšana tiešsaistes drošības jomā nav tikai izvēle; tā ir nepieciešamība, lai aizsargātu mūsu digitālo dzīvi un saglabātu mūsu savstarpēji saistītās pasaules integritāti.