HTTPSnoop-malware

Een golf van cyberaanvallen gericht op aanbieders van telecommunicatiediensten in het Midden-Oosten is in verband gebracht met de inzet van nieuwe malwaresoorten, bekend als HTTPSnoop en PipeSnoop. Met deze bedreigende tools kunnen bedreigingsactoren op afstand controle krijgen over gecompromitteerde apparaten.

De HTTPSnoop-malware maakt gebruik van Windows HTTP-kernelstuurprogramma's en -apparaten om specifieke inhoud uit te voeren op geïnfecteerde eindpunten via HTTP(S)-URL's. Aan de andere kant is PipeSnoop ontworpen om willekeurige shellcodes te ontvangen en uit te voeren via een benoemde pipe.

Volgens een rapport van cyberbeveiligingsonderzoekers die deze aanvalscampagne met succes hebben blootgelegd, worden zowel HTTPSnoop als PipeSnoop toegeschreven aan dezelfde inbraakgroep, geïdentificeerd als 'ShroudedSnooper'. De twee bedreigingen dienen echter verschillende operationele doeleinden in termen van hun infiltratieniveau.

De HTTPSnoop-malware voert gespecialiseerde acties uit voor de aanvallers

HTTPSnoop maakt gebruik van Windows API's op laag niveau om HTTP(S)-verkeer op een geïnfecteerd apparaat te monitoren, waarbij het zich specifiek richt op vooraf gedefinieerde URL's. Bij het detecteren van deze URL's gaat de malware verder met het decoderen van binnenkomende base64-gecodeerde gegevens en voert deze uit als shellcode op de getroffen host.

Dit onveilige implantaat, geactiveerd op het doelsysteem via DLL-kaping, bestaat uit twee belangrijke componenten: ten eerste de fase 2-shellcode, verantwoordelijk voor het opzetten van een achterdeurwebserver via kerneloproepen, en ten tweede de configuratie ervan.

HTTPSnoop brengt een luisterlus tot stand, wacht geduldig op binnenkomende HTTP-verzoeken en verwerkt op efficiënte wijze geldige gegevens zodra deze binnenkomen. In gevallen waarin binnenkomende gegevens niet geldig zijn, retourneert de malware een HTTP 302-omleiding.

Na decodering van de ontvangen shellcode wordt deze onmiddellijk uitgevoerd en worden de uitvoeringsresultaten teruggestuurd naar de aanvallers in de vorm van base64-gecodeerde XOR-gecodeerde datablokken.

Bovendien neemt dit implantaat voorzorgsmaatregelen om conflicten met eerder geconfigureerde URL's op de server te voorkomen, waardoor een soepele werking zonder onbedoelde botsingen wordt gegarandeerd.

Experts hebben verschillende HTTPSnoop-malwarevarianten ontdekt

Er zijn tot nu toe drie verschillende varianten van HTTPSnoop waargenomen, waarbij elke variant unieke URL-luisterpatronen gebruikt. De eerste variant monitort algemene HTTP URL-gebaseerde verzoeken, terwijl de tweede variant zich richt op URL's die Microsoft Exchange Web Service nabootsen. De derde variant richt zich ondertussen op URL's die de LBS/OfficeTrack- en telefonietoepassingen van OfficeCore emuleren.

Deze varianten zijn in april 2023 ontdekt en met name de meest recente variant heeft een kleiner aantal URL's dat wordt gecontroleerd, waardoor de stealth-mogelijkheden waarschijnlijk worden vergroot.

Door legitieme URL-patronen te imiteren die verband houden met Microsoft Exchange Web Services en OfficeTrack, lijken deze frauduleuze verzoeken sterk op goedaardig verkeer, waardoor het buitengewoon lastig wordt om ze van legitieme verzoeken te onderscheiden.

Het steeds evoluerende landschap van malware vormt een formidabele en aanhoudende bedreiging in ons digitale tijdperk. Malware is niet alleen hinderlijk, maar ook een geduchte tegenstander die grote schade kan aanrichten aan individuen, organisaties en zelfs landen. Waakzaamheid, educatie en robuuste cyberbeveiligingsmaatregelen zijn onze beste verdediging tegen deze meedogenloze dreiging. Op de hoogte blijven en best practices op het gebied van online beveiliging toepassen is niet alleen een keuze; het is een noodzaak om ons digitale leven te beschermen en de integriteit van onze onderling verbonden wereld te behouden.