ХТТПСнооп малвер

Талас сајбер напада усмерених на провајдере телекомуникационих услуга на Блиском истоку повезан је са применом нових врста малвера познатих као ХТТПСнооп и ПипеСнооп. Ови претећи алати омогућавају актерима претњи да добију даљинску контролу над компромитованим уређајима.

ХТТПСнооп малвер користи Виндовс ХТТП драјвере језгра и уређаје за извршавање одређеног садржаја на зараженим крајњим тачкама преко ХТТП(С) УРЛ адреса. Са друге стране, ПипеСнооп је дизајниран да прима и извршава произвољне схелл кодове преко именоване цеви.

Према извештају који су објавили истраживачи сајбер безбедности који су успешно открили ову кампању напада, и ХТТПСнооп и ПипеСнооп се приписују истој групи за упад, идентификованој као „СхроудедСноопер“. Међутим, ове две претње служе различитим оперативним сврхама у смислу њиховог нивоа инфилтрације.

ХТТПСнооп малвер обавља специјализоване радње за нападаче

ХТТПСнооп користи Виндовс АПИ-је ниског нивоа да надгледа ХТТП(С) саобраћај на зараженом уређају, посебно циљајући унапред дефинисане УРЛ адресе. Након што открије ове УРЛ адресе, злонамерни софтвер наставља да декодира долазне податке кодиране басе64 са њих и извршава их као схеллцоде на компромитованом хосту.

Овај небезбедни имплант, активиран на циљном систему преко отмице ДЛЛ-а, састоји се од две кључне компоненте: прво, схеллцоде фазе 2, одговоран за постављање бацкдоор Веб сервера путем позива кернела, и друго, његову конфигурацију.

ХТТПСнооп успоставља петљу слушања, стрпљиво чекајући долазне ХТТП захтеве и ефикасно обрађује важеће податке по њиховом доласку. У случајевима када долазни подаци нису важећи, злонамерни софтвер враћа ХТТП 302 преусмеравање.

Након дешифровања примљеног схелл кода, он се одмах извршава, а резултати извршења се преносе назад нападачима у облику басе64 кодираних КСОР-кодираних блокова података.

Поред тога, овај имплант предузима мере предострожности да избегне сукобе са претходно конфигурисаним УРЛ-овима на серверу, обезбеђујући несметан рад без ненамерних сукоба.

Стручњаци су открили неколико варијанти ХТТПСнооп малвера

До сада су примећене три различите варијанте ХТТПСнооп-а, од којих свака користи јединствене обрасце слушања УРЛ-а. Прва варијанта прати опште ХТТП захтеве засноване на УРЛ-овима, док се друга варијанта фокусира на УРЛ-ове који опонашају Мицрософт Екцханге Веб Сервице. Трећа варијанта, у међувремену, циља на УРЛ адресе које опонашају ОффицеЦоре-ове ЛБС/ОффицеТрацк и телефонске апликације.

Ове варијанте су откривене у априлу 2023., а посебно, најновија има смањен број УРЛ адреса које прати, што ће вероватно побољшати његове могућности прикривености.

Имитирајући легитимне УРЛ обрасце повезане са Мицрософт Екцханге веб услугама и ОффицеТрацк-ом, ови лажни захтеви веома подсећају на бенигни саобраћај, што их чини изузетно тешким разликовати од легитимних захтева.

Стално еволуирајући пејзаж малвера представља огромну и упорну претњу у нашем дигиталном добу. Злонамерни софтвер није само сметња, већ и страшни противник способан да изазове пустош на појединце, организације, па чак и нације. Будност, образовање и снажне мере сајбер безбедности су наша најбоља одбрана од ове немилосрдне претње. Остати информисан и усвојити најбоље праксе у онлајн безбедности није само избор; то је неопходно у заштити наших дигиталних живота и очувању интегритета нашег међусобно повезаног света.