Złośliwe oprogramowanie HTTPSnoop
Falę cyberataków wymierzonych w dostawców usług telekomunikacyjnych na Bliskim Wschodzie powiązano z wdrożeniem nowych odmian złośliwego oprogramowania znanych jako HTTPSnoop i PipeSnoop. Te groźne narzędzia umożliwiają cyberprzestępcom uzyskanie zdalnej kontroli nad zaatakowanymi urządzeniami.
Szkodliwe oprogramowanie HTTPSnoop wykorzystuje sterowniki i urządzenia jądra HTTP systemu Windows do wykonywania określonej zawartości na zainfekowanych punktach końcowych za pośrednictwem adresów URL HTTP(S). Z drugiej strony PipeSnoop jest przeznaczony do odbierania i wykonywania dowolnych kodów powłoki za pośrednictwem nazwanego potoku.
Zgodnie z raportem badaczy cyberbezpieczeństwa, którym udało się wykryć tę kampanię ataków, zarówno HTTPSnoop, jak i PipeSnoop przypisuje się do tej samej grupy włamań, identyfikowanej jako „ShroudedSnooper”. Jednakże te dwa zagrożenia służą różnym celom operacyjnym pod względem poziomu infiltracji.
Złośliwe oprogramowanie HTTPSnoop wykonuje wyspecjalizowane działania na rzecz atakujących
HTTPSnoop wykorzystuje niskopoziomowe interfejsy API systemu Windows do monitorowania ruchu HTTP(S) na zainfekowanym urządzeniu, w szczególności celując w predefiniowane adresy URL. Po wykryciu tych adresów URL złośliwe oprogramowanie dekoduje przychodzące z nich dane zakodowane w formacie Base64 i wykonuje je jako kod powłoki na zaatakowanym hoście.
Ten niebezpieczny implant, aktywowany w systemie docelowym poprzez przejęcie DLL, składa się z dwóch kluczowych komponentów: po pierwsze, kodu powłoki drugiego stopnia, odpowiedzialnego za skonfigurowanie serwera internetowego typu backdoor za pomocą wywołań jądra, a po drugie, jego konfiguracji.
HTTPSnoop ustanawia pętlę nasłuchującą, cierpliwie oczekując na przychodzące żądania HTTP i efektywnie przetwarzając prawidłowe dane po ich nadejściu. W przypadkach, gdy przychodzące dane są nieprawidłowe, złośliwe oprogramowanie zwraca przekierowanie HTTP 302.
Po odszyfrowaniu otrzymanego kodu powłoki jest on natychmiast wykonywany, a wyniki wykonania są przesyłane z powrotem do atakujących w postaci bloków danych zakodowanych w formacie Base64 i XOR.
Dodatkowo implant ten podejmuje środki ostrożności, aby uniknąć konfliktów z wcześniej skonfigurowanymi adresami URL na serwerze, zapewniając płynne działanie bez niezamierzonych konfliktów.
Eksperci odkryli kilka wariantów złośliwego oprogramowania HTTPSnoop
Do tej pory zaobserwowano trzy różne warianty protokołu HTTPSnoop, z których każdy wykorzystuje unikalne wzorce nasłuchiwania adresów URL. Pierwszy wariant monitoruje ogólne żądania oparte na adresach URL HTTP, podczas gdy drugi wariant koncentruje się na adresach URL naśladujących usługę internetową Microsoft Exchange. Trzeci wariant natomiast atakuje adresy URL emulujące aplikacje LBS/OfficeTrack i telefonię pakietu OfficeCore.
Warianty te wykryto w kwietniu 2023 r., a co ciekawe, najnowszy z nich ma zmniejszoną liczbę monitorowanych adresów URL, co prawdopodobnie zwiększa jego możliwości ukrywania się.
Imitując prawidłowe wzorce adresów URL powiązane z usługami internetowymi Microsoft Exchange i OfficeTrack, te fałszywe żądania bardzo przypominają nieszkodliwy ruch, co sprawia, że niezwykle trudno jest je odróżnić od prawidłowych żądań.
Stale ewoluujący krajobraz złośliwego oprogramowania stanowi w naszej epoce cyfrowej ogromne i trwałe zagrożenie. Złośliwe oprogramowanie to nie tylko utrapienie, ale także groźny przeciwnik, który może siać spustoszenie wśród osób, organizacji, a nawet narodów. Czujność, edukacja i solidne środki cyberbezpieczeństwa to nasza najlepsza obrona przed tym bezlitosnym zagrożeniem. Bycie na bieżąco i wdrażanie najlepszych praktyk w zakresie bezpieczeństwa w Internecie to nie tylko wybór; jest to konieczne, aby chronić nasze cyfrowe życie i zachować integralność naszego połączonego świata.
