Zlonamerna programska oprema HTTPSnoop

Val kibernetskih napadov na ponudnike telekomunikacijskih storitev na Bližnjem vzhodu je bil povezan z uvedbo novih različic zlonamerne programske opreme, znanih kot HTTPSnoop in PipeSnoop. Ta orodja za grožnje akterjem groženj omogočajo daljinski nadzor nad ogroženimi napravami.

Zlonamerna programska oprema HTTPSnoop izkorišča gonilnike jedra Windows HTTP in naprave za izvajanje določene vsebine na okuženih končnih točkah prek URL-jev HTTP(S). Po drugi strani pa je PipeSnoop zasnovan za sprejemanje in izvajanje poljubnih lupinskih kod prek imenovane cevi.

Po poročilu, ki so ga izdali raziskovalci kibernetske varnosti, ki so uspešno odkrili to napadalno kampanjo, sta HTTPSnoop in PipeSnoop pripisana isti skupini vdorov, označeni kot "ShroudedSnooper". Vendar pa obe grožnji služita različnim operativnim namenom v smislu stopnje infiltracije.

Zlonamerna programska oprema HTTPSnoop izvaja posebna dejanja za napadalce

HTTPSnoop uporablja nizkonivojske API-je Windows za spremljanje prometa HTTP(S) na okuženi napravi, posebej cilja na vnaprej določene URL-je. Ko zazna te URL-je, zlonamerna programska oprema nadaljuje z dekodiranjem dohodnih podatkov, kodiranih z base64, in jih izvede kot lupinsko kodo na ogroženem gostitelju.

Ta nevaren vsadek, aktiviran v ciljnem sistemu prek ugrabitve DLL, obsega dve ključni komponenti: prvič, lupinsko kodo stopnje 2, ki je odgovorna za postavitev stranskega spletnega strežnika prek klicev jedra, in drugič, njegovo konfiguracijo.

HTTPSnoop vzpostavi zanko poslušanja, potrpežljivo čaka na dohodne zahteve HTTP in učinkovito obdela veljavne podatke ob njihovem prihodu. V primerih, ko dohodni podatki niso veljavni, zlonamerna programska oprema vrne preusmeritev HTTP 302.

Po dešifriranju prejete lupinske kode se ta nemudoma izvede, rezultati izvajanja pa se pošljejo nazaj napadalcem v obliki podatkovnih blokov, kodiranih z base64 in XOR.

Poleg tega ta vsadek izvaja previdnostne ukrepe, da prepreči konflikte s predhodno konfiguriranimi URL-ji na strežniku, kar zagotavlja nemoteno delovanje brez nenamernih spopadov.

Strokovnjaki so odkrili več različic zlonamerne programske opreme HTTPSnoop

Doslej opažene tri različne različice HTTPSnoop, pri čemer vsaka uporablja edinstvene vzorce poslušanja URL-jev. Prva različica spremlja splošne zahteve, ki temeljijo na URL-jih HTTP, medtem ko se druga različica osredotoča na URL-je, ki posnemajo spletno storitev Microsoft Exchange. Tretja različica medtem cilja na URL-je, ki posnemajo OfficeCore LBS/OfficeTrack in aplikacije za telefonijo.

Te različice so bile odkrite aprila 2023 in zlasti najnovejša ima zmanjšano število URL-jev, ki jih spremlja, kar bo verjetno izboljšalo njene prikrite zmogljivosti.

S posnemanjem zakonitih vzorcev URL-jev, povezanih s spletnimi storitvami Microsoft Exchange in OfficeTrack, so te goljufive zahteve zelo podobne benignemu prometu, zaradi česar jih je izjemno težko razlikovati od zakonitih zahtev.

Nenehno razvijajoča se pokrajina zlonamerne programske opreme predstavlja izjemno in vztrajno grožnjo v naši digitalni dobi. Zlonamerna programska oprema ni le nadloga, ampak izjemen nasprotnik, ki lahko uniči posameznike, organizacije in celo države. Budnost, izobraževanje in robustni ukrepi kibernetske varnosti so naša najboljša obramba pred to neizprosno grožnjo. Ostati obveščen in sprejeti najboljše prakse na področju spletne varnosti ni le izbira; to je nujno za varovanje našega digitalnega življenja in ohranjanje celovitosti našega med seboj povezanega sveta.