HTTPSnoop मालवेयर
मध्य पूर्वमा दूरसञ्चार सेवा प्रदायकहरूलाई लक्षित गर्ने साइबर आक्रमणको लहर HTTPSnoop र PipeSnoop को रूपमा चिनिने नयाँ मालवेयर स्ट्रेनहरूको तैनातीसँग जोडिएको छ। यी धम्की दिने उपकरणहरूले खतरा अभिनेताहरूलाई सम्झौता गरिएका उपकरणहरूमा रिमोट कन्ट्रोल प्राप्त गर्न सक्षम गर्दछ।
HTTPSnoop मालवेयरले विन्डोज HTTP कर्नेल ड्राइभरहरू र यन्त्रहरूलाई HTTP(S) URL मार्फत संक्रमित अन्तबिन्दुहरूमा विशेष सामग्री कार्यान्वयन गर्नको लागि लाभ उठाउँछ। अर्कोतर्फ, PipeSnoop नामित पाइप मार्फत मनमानी शेलकोडहरू प्राप्त गर्न र कार्यान्वयन गर्न डिजाइन गरिएको हो।
यस आक्रमण अभियानलाई सफलतापूर्वक उजागर गर्ने साइबरसुरक्षा अनुसन्धानकर्ताहरूद्वारा जारी गरिएको प्रतिवेदन अनुसार, HTTPSnoop र PipeSnoop दुवैलाई एउटै घुसपैठ समूहलाई श्रेय दिइएको छ, जसलाई 'श्राउडस्नूपर' भनिन्छ। यद्यपि, दुई धम्कीहरूले तिनीहरूको घुसपैठको स्तरको सन्दर्भमा फरक परिचालन उद्देश्यहरू प्रदान गर्दछ।
HTTPSnoop मालवेयरले आक्रमणकारीहरूको लागि विशेष कार्यहरू गर्दछ
HTTPSnoop ले संक्रमित यन्त्रमा HTTP(S) ट्राफिकलाई निगरानी गर्न निम्न-स्तरको Windows API हरू प्रयोग गर्छ, विशेष गरी पूर्वनिर्धारित URL हरूलाई लक्षित गर्दै। यी URL हरू पत्ता लगाएपछि, मालवेयरले तिनीहरूबाट आउने base64-इन्कोड गरिएको डाटालाई डिकोड गर्न र सम्झौता गरिएको होस्टमा शेलकोडको रूपमा कार्यान्वयन गर्न अगाडि बढ्छ।
यो असुरक्षित प्रत्यारोपण, DLL अपहरण मार्फत लक्षित प्रणालीमा सक्रिय, दुई मुख्य घटकहरू समावेश गर्दछ: पहिलो, चरण 2 शेलकोड, कर्नेल कलहरू मार्फत ब्याकडोर वेब सर्भर सेटअप गर्न जिम्मेवार, र दोस्रो, यसको कन्फिगरेसन।
HTTPSnoop ले सुन्ने लूप स्थापना गर्दछ, धैर्यपूर्वक आगमन HTTP अनुरोधहरू पर्खन्छ, र तिनीहरूको आगमनमा वैध डेटालाई कुशलतापूर्वक प्रशोधन गर्दछ। आगमन डेटा मान्य नभएको अवस्थामा, मालवेयरले HTTP 302 रिडिरेक्ट फर्काउँछ।
प्राप्त शेलकोडको डिक्रिप्शनमा, यो तुरुन्तै कार्यान्वयन हुन्छ, र कार्यान्वयन परिणामहरू आक्रमणकर्ताहरूलाई base64-इन्कोडेड XOR-इन्कोडेड डाटा ब्लकहरूको रूपमा फिर्ता पठाइन्छ।
थप रूपमा, यो इम्प्लान्टले सर्भरमा पहिले कन्फिगर गरिएका URL हरू सँग द्वन्द्वबाट बच्न सावधानीहरू लिन्छ, अनजाने झगडा बिना सहज सञ्चालन सुनिश्चित गर्दै।
विशेषज्ञहरूले धेरै HTTPSnoop मालवेयर भेरियन्टहरू पत्ता लगाएका छन्
त्यहाँ HTTPSnoop को तीनवटा भिन्न भेरियन्टहरू छन् जुन अहिलेसम्म प्रत्येक रोजगारीमा अद्वितीय URL सुन्ने ढाँचाहरूसँग अवलोकन गरिएको छ। पहिलो भेरियन्टले सामान्य HTTP URL-आधारित अनुरोधहरूलाई निगरानी गर्दछ, जबकि दोस्रो संस्करणले Microsoft Exchange वेब सेवाको नक्कल गर्ने URL मा फोकस गर्छ। तेस्रो संस्करण, यसै बीचमा, OfficeCore को LBS/OfficeTrack र टेलिफोनी अनुप्रयोगहरू अनुकरण गर्ने URL हरूलाई लक्षित गर्दछ।
यी भेरियन्टहरू अप्रिल 2023 मा पत्ता लगाइएका थिए, र विशेष गरी, सबैभन्दा हालको एउटाले यसको स्टिल्थ क्षमताहरू बढाउने सम्भावना, यसले मोनिटर गर्ने URL हरूको संख्या कम गरेको छ।
Microsoft Exchange वेब सेवाहरू र OfficeTrack सँग सम्बन्धित वैध URL ढाँचाहरूको नक्कल गरेर, यी जालसाजी अनुरोधहरू सौम्य ट्राफिकसँग मिल्दोजुल्दो छन्, यसले तिनीहरूलाई वैध अनुरोधहरूबाट छुट्याउन अत्यन्तै चुनौतीपूर्ण बनाउँछ।
मालवेयरको सँधै विकसित परिदृश्यले हाम्रो डिजिटल युगमा एक भयानक र निरन्तर खतरा खडा गर्छ। मालवेयर केवल एक उपद्रव मात्र होइन तर व्यक्ति, संस्था र राष्ट्रहरूमा पनि विनाश गर्न सक्षम एक शक्तिशाली विरोधी हो। सतर्कता, शिक्षा, र बलियो साइबरसुरक्षा उपायहरू यस अथक खतरा विरुद्ध हाम्रो उत्तम प्रतिरक्षा हुन्। सूचित रहनु र अनलाइन सुरक्षामा उत्कृष्ट अभ्यासहरू अपनाउनु मात्र विकल्प होइन; हाम्रो डिजिटल जीवनको रक्षा गर्न र हाम्रो अन्तरसम्बन्धित संसारको अखण्डता जोगाउन यो आवश्यक छ।
