HTTPSnoop skadelig programvare

En bølge av nettangrep rettet mot leverandører av telekommunikasjonstjenester i Midt-Østen har blitt knyttet til utrullingen av nye skadevarestammer kjent som HTTPSnoop og PipeSnoop. Disse truende verktøyene gjør det mulig for trusselaktører å få fjernkontroll over kompromitterte enheter.

HTTPSnoop-skadevare utnytter Windows HTTP-kjernedrivere og -enheter for å kjøre spesifikt innhold på infiserte endepunkter via HTTP(S) URL-er. På den annen side er PipeSnoop designet for å motta og utføre vilkårlige skallkoder gjennom et navngitt rør.

I henhold til en rapport utstedt av cybersikkerhetsforskere som vellykket avdekket denne angrepskampanjen, tilskrives både HTTPSnoop og PipeSnoop den samme inntrengingsgruppen, identifisert som 'ShroudedSnooper'. Imidlertid tjener de to truslene distinkte operasjonelle formål når det gjelder deres infiltrasjonsnivå.

HTTPSnoop Malware utfører spesialiserte handlinger for angriperne

HTTPSnoop bruker Windows API-er på lavt nivå for å overvåke HTTP(S)-trafikk på en infisert enhet, spesifikt rettet mot forhåndsdefinerte URL-er. Etter å ha oppdaget disse URL-ene, fortsetter skadelig programvare med å dekode innkommende base64-kodede data fra dem og kjøre dem som en shellcode på den kompromitterte verten.

Dette usikre implantatet, aktivert på målsystemet via DLL-kapring, består av to nøkkelkomponenter: for det første trinn 2-skallkoden, ansvarlig for å sette opp en bakdørs webserver gjennom kjernekall, og for det andre konfigurasjonen.

HTTPSnoop etablerer en lyttesløyfe, venter tålmodig på innkommende HTTP-forespørsler, og behandler effektivt gyldige data ved ankomst. I tilfeller der innkommende data ikke er gyldige, returnerer skadelig programvare en HTTP 302-viderekobling.

Ved dekryptering av den mottatte skallkoden, blir den umiddelbar utført, og utførelsesresultatene blir overført tilbake til angriperne i form av base64-kodede XOR-kodede datablokker.

I tillegg tar dette implantatet forholdsregler for å unngå konflikter med tidligere konfigurerte URL-er på serveren, og sikrer jevn drift uten utilsiktede sammenstøt.

Eksperter har avdekket flere HTTPSnoop-malwarevarianter

Det er tre forskjellige varianter av HTTPSnoop observert så langt, der hver bruker unike URL-lyttemønstre. Den første varianten overvåker generelle HTTP URL-baserte forespørsler, mens den andre varianten fokuserer på URL-er som etterligner Microsoft Exchange Web Service. Den tredje varianten retter seg i mellomtiden mot URL-er som emulerer OfficeCores LBS/OfficeTrack og telefoniapplikasjoner.

Disse variantene ble oppdaget i april 2023, og spesielt har den siste et redusert antall nettadresser den overvåker, noe som sannsynligvis vil forbedre stealth-funksjonene.

Ved å imitere legitime URL-mønstre assosiert med Microsoft Exchange Web Services og OfficeTrack, ligner disse falske forespørslene svært godartet trafikk, noe som gjør det svært utfordrende å skille dem fra legitime forespørsler.

Det stadig utviklende landskapet av skadelig programvare utgjør en formidabel og vedvarende trussel i vår digitale tidsalder. Skadelig programvare er ikke bare en plage, men en formidabel motstander som er i stand til å ødelegge enkeltpersoner, organisasjoner og til og med nasjoner. Årvåkenhet, utdanning og robuste nettsikkerhetstiltak er vårt beste forsvar mot denne nådeløse trusselen. Å holde seg informert og ta i bruk beste praksis innen nettsikkerhet er ikke bare et valg; det er en nødvendighet for å sikre våre digitale liv og bevare integriteten til vår sammenkoblede verden.