HTTPSnoop Malware

Gelombang serangan siber yang menyasarkan penyedia perkhidmatan telekomunikasi di Timur Tengah telah dikaitkan dengan penggunaan jenis perisian hasad baharu yang dikenali sebagai HTTPSnoop dan PipeSnoop. Alat yang mengancam ini membolehkan pelaku ancaman mendapatkan kawalan jauh ke atas peranti yang terjejas.

Malware HTTPSnoop memanfaatkan pemacu dan peranti kernel HTTP Windows untuk melaksanakan kandungan tertentu pada titik akhir yang dijangkiti melalui URL HTTP(S). Sebaliknya, PipeSnoop direka untuk menerima dan melaksanakan kod cangkerang sewenang-wenangnya melalui paip bernama.

Mengikut laporan yang dikeluarkan oleh penyelidik keselamatan siber yang berjaya membongkar kempen serangan ini, HTTPSnoop dan PipeSnoop dikaitkan dengan kumpulan pencerobohan yang sama, yang dikenal pasti sebagai 'ShroudedSnooper.' Walau bagaimanapun, kedua-dua ancaman mempunyai tujuan operasi yang berbeza dari segi tahap penyusupannya.

Malware HTTPSnoop Melakukan Tindakan Khusus untuk Penyerang

HTTPSnoop menggunakan API Windows peringkat rendah untuk memantau trafik HTTP(S) pada peranti yang dijangkiti, khususnya menyasarkan URL yang dipratentukan. Setelah mengesan URL ini, perisian hasad meneruskan untuk menyahkod data masuk berkod base64 daripada mereka dan melaksanakannya sebagai kod shell pada hos yang terjejas.

Implan yang tidak selamat ini, diaktifkan pada sistem sasaran melalui rampasan DLL, terdiri daripada dua komponen utama: pertama, kod shell peringkat 2, bertanggungjawab untuk menyediakan pelayan Web pintu belakang melalui panggilan kernel, dan kedua, konfigurasinya.

HTTPSnoop mewujudkan gelung mendengar, menunggu permintaan HTTP masuk dengan sabar dan memproses data yang sah dengan cekap semasa ketibaan mereka. Dalam kes di mana data masuk tidak sah, perisian hasad mengembalikan ubah hala HTTP 302.

Selepas penyahsulitan kod shell yang diterima, ia dilaksanakan dengan segera, dan hasil pelaksanaan dihantar kembali kepada penyerang dalam bentuk blok data berkod XOR yang dikodkan base64.

Selain itu, implan ini mengambil langkah berjaga-jaga untuk mengelakkan konflik dengan URL yang dikonfigurasikan sebelum ini pada pelayan, memastikan operasi lancar tanpa pertembungan yang tidak disengajakan.

Pakar Telah Mendedahkan Beberapa Varian Perisian Hasad HTTPSnoop

Terdapat tiga varian HTTPSnoop berbeza yang diperhatikan setakat ini dengan setiap satu menggunakan corak mendengar URL yang unik. Varian pertama memantau permintaan berasaskan URL HTTP umum, manakala varian kedua memfokuskan pada URL yang meniru Perkhidmatan Web Microsoft Exchange. Varian ketiga, sementara itu, menyasarkan URL yang meniru aplikasi LBS/OfficeTrack dan telefoni OfficeCore.

Varian ini ditemui pada April 2023, dan terutamanya, yang terbaharu mempunyai bilangan URL yang dipantau yang berkurangan, berkemungkinan meningkatkan keupayaan senyapnya.

Dengan meniru corak URL sah yang dikaitkan dengan Perkhidmatan Web Microsoft Exchange dan OfficeTrack, permintaan penipuan ini hampir menyerupai trafik jinak, menjadikannya sangat mencabar untuk membezakannya daripada permintaan yang sah.

Landskap perisian hasad yang sentiasa berkembang menimbulkan ancaman yang menggerunkan dan berterusan dalam era digital kita. Perisian hasad bukan sekadar gangguan tetapi musuh yang hebat yang mampu mendatangkan malapetaka ke atas individu, organisasi dan juga negara. Kewaspadaan, pendidikan dan langkah keselamatan siber yang teguh adalah pertahanan terbaik kami terhadap ancaman tanpa henti ini. Mengekalkan maklumat dan mengamalkan amalan terbaik dalam keselamatan dalam talian bukan sekadar pilihan; ia adalah satu keperluan dalam melindungi kehidupan digital kita dan memelihara integriti dunia kita yang saling berkaitan.