HTTPSnoop malvér

Vlna kybernetických útokov zameraných na poskytovateľov telekomunikačných služieb na Blízkom východe bola spojená s nasadením nových kmeňov malvéru známych ako HTTPSnoop a PipeSnoop. Tieto ohrozujúce nástroje umožňujú aktérom hrozby získať vzdialenú kontrolu nad napadnutými zariadeniami.

Malvér HTTPSnoop využíva ovládače a zariadenia jadra HTTP systému Windows na spúšťanie špecifického obsahu na infikovaných koncových bodoch prostredníctvom adries URL HTTP(S). Na druhej strane je PipeSnoop navrhnutý tak, aby prijímal a spúšťal ľubovoľné shell kódy cez pomenované potrubie.

Podľa správy vydanej výskumníkmi v oblasti kybernetickej bezpečnosti, ktorí úspešne odhalili túto útočnú kampaň, sú HTTPSnoop aj PipeSnoop pripisované rovnakej skupine narušiteľov, ktorá je identifikovaná ako „ShroudedSnooper“. Tieto dve hrozby však slúžia na odlišné prevádzkové účely z hľadiska úrovne ich infiltrácie.

Malvér HTTPSnoop vykonáva špecializované akcie pre útočníkov

HTTPSnoop využíva nízkoúrovňové rozhrania Windows API na monitorovanie prenosu HTTP(S) na infikovanom zariadení, konkrétne so zameraním na preddefinované adresy URL. Po zistení týchto adries URL z nich malvér dekóduje prichádzajúce dáta zakódované v base64 a spustí ich ako shell kód na napadnutom hostiteľovi.

Tento nebezpečný implantát, aktivovaný na cieľovom systéme prostredníctvom únosu knižnice DLL, pozostáva z dvoch kľúčových komponentov: po prvé, shell kód 2. stupňa, zodpovedný za nastavenie backdoor webového servera prostredníctvom volaní jadra, a po druhé, jeho konfigurácia.

HTTPSnoop vytvára slučku počúvania, trpezlivo čaká na prichádzajúce požiadavky HTTP a efektívne spracováva platné údaje po ich príchode. V prípadoch, keď prichádzajúce údaje nie sú platné, malvér vráti presmerovanie HTTP 302.

Po dešifrovaní prijatého shell kódu sa okamžite vykoná a výsledky vykonania sa prenesú späť útočníkom vo forme dátových blokov kódovaných XOR kódovaním base64.

Okrem toho tento implantát prijíma preventívne opatrenia, aby sa predišlo konfliktom s predtým nakonfigurovanými adresami URL na serveri, čím zaisťuje bezproblémovú prevádzku bez neúmyselných konfliktov.

Odborníci odhalili niekoľko variantov malvéru HTTPSnoop

Doteraz boli pozorované tri odlišné varianty HTTPSnoop, pričom každý z nich využíva jedinečné vzory počúvania adries URL. Prvý variant monitoruje všeobecné požiadavky založené na HTTP URL, zatiaľ čo druhý variant sa zameriava na URL, ktoré napodobňujú webovú službu Microsoft Exchange. Tretí variant sa medzitým zameriava na adresy URL, ktoré emulujú aplikácie OfficeCore LBS/OfficeTrack a telefónne aplikácie.

Tieto varianty boli objavené v apríli 2023 a najmä najnovšia má znížený počet adries URL, ktoré monitoruje, čo pravdepodobne rozšíri jej možnosti utajenia.

Napodobňovaním legitímnych vzorov adries URL spojených s webovými službami Microsoft Exchange a OfficeTrack sa tieto podvodné požiadavky veľmi podobajú benígnej návštevnosti, takže je mimoriadne náročné ich odlíšiť od legitímnych požiadaviek.

Neustále sa vyvíjajúce prostredie malvéru predstavuje v našom digitálnom veku obrovskú a pretrvávajúcu hrozbu. Škodlivý softvér nie je len na obtiaž, ale aj ako impozantný protivník schopný spôsobiť zmätok jednotlivcom, organizáciám a dokonca aj národom. Bdelosť, vzdelávanie a robustné opatrenia kybernetickej bezpečnosti sú našou najlepšou obranou proti tejto neúprosnej hrozbe. Zostať informovaný a osvojiť si najlepšie postupy v oblasti online bezpečnosti nie je len voľba; je to nevyhnutnosť pri ochrane našich digitálnych životov a zachovaní integrity nášho prepojeného sveta.