HTTPSnoop вредоносное ПО

Волна кибератак, направленных на поставщиков телекоммуникационных услуг на Ближнем Востоке, была связана с развертыванием новых штаммов вредоносного ПО, известных как HTTPSnoop и PipeSnoop. Эти угрожающие инструменты позволяют злоумышленникам получить удаленный контроль над скомпрометированными устройствами.

Вредоносная программа HTTPSnoop использует драйверы и устройства ядра HTTP Windows для выполнения определенного контента на зараженных конечных точках через URL-адреса HTTP(S). С другой стороны, PipeSnoop предназначен для получения и выполнения произвольных шелл-кодов через именованный канал.

Согласно отчету, опубликованному исследователями кибербезопасности, которые успешно раскрыли эту атаку, HTTPSnoop и PipeSnoop относятся к одной и той же группе вторжений, известной как ShroudedSnooper. Однако эти две угрозы служат разным оперативным целям с точки зрения уровня проникновения.

Вредоносная программа HTTPSnoop выполняет для злоумышленников специальные действия

HTTPSnoop использует низкоуровневые API-интерфейсы Windows для мониторинга трафика HTTP(S) на зараженном устройстве, в частности, ориентируясь на предопределенные URL-адреса. Обнаружив эти URL-адреса, вредоносная программа приступает к декодированию входящих с них данных в кодировке Base64 и выполняет их как шелл-код на скомпрометированном хосте.

Этот небезопасный имплант, активируемый в целевой системе посредством перехвата DLL, состоит из двух ключевых компонентов: во-первых, шелл-код этапа 2, отвечающий за настройку бэкдор-веб-сервера посредством вызовов ядра, и, во-вторых, его конфигурацию.

HTTPSnoop устанавливает цикл прослушивания, терпеливо ожидая входящие HTTP-запросы и эффективно обрабатывая действительные данные по их прибытии. В случаях, когда входящие данные недействительны, вредоносная программа возвращает перенаправление HTTP 302.

После расшифровки полученного шелл-кода он незамедлительно выполняется, а результаты выполнения передаются обратно злоумышленникам в виде блоков данных с кодировкой Base64 и XOR.

Кроме того, этот имплантат принимает меры предосторожности, чтобы избежать конфликтов с ранее настроенными URL-адресами на сервере, обеспечивая бесперебойную работу без непреднамеренных конфликтов.

Эксперты обнаружили несколько вариантов вредоносного ПО HTTPSnoop

На данный момент наблюдаются три различных варианта HTTPSnoop, каждый из которых использует уникальные шаблоны прослушивания URL-адресов. Первый вариант отслеживает общие HTTP-запросы на основе URL-адресов, а второй вариант фокусируется на URL-адресах, имитирующих веб-службу Microsoft Exchange. Третий вариант, тем временем, нацелен на URL-адреса, которые эмулируют LBS/OfficeTrack и телефонные приложения OfficeCore.

Эти варианты были обнаружены в апреле 2023 года, и примечательно, что у самого последнего из них уменьшено количество отслеживаемых URL-адресов, что, вероятно, увеличивает его возможности скрытности.

Имитируя законные шаблоны URL-адресов, связанные с веб-службами Microsoft Exchange и OfficeTrack, эти мошеннические запросы очень похожи на безопасный трафик, что чрезвычайно затрудняет их отличие от законных запросов.

Постоянно развивающаяся среда вредоносного ПО представляет собой огромную и постоянную угрозу в наш цифровой век. Вредоносное ПО — это не просто неприятность, а грозный противник, способный нанести ущерб отдельным людям, организациям и даже народам. Бдительность, образование и надежные меры кибербезопасности — наша лучшая защита от этой непрекращающейся угрозы. Оставаться в курсе и применять лучшие практики в области онлайн-безопасности — это не просто выбор; это необходимость защитить нашу цифровую жизнь и сохранить целостность нашего взаимосвязанного мира.