มัลแวร์ HTTPSnoop

คลื่นของการโจมตีทางไซเบอร์ที่มุ่งเป้าไปที่ผู้ให้บริการโทรคมนาคมในตะวันออกกลางเชื่อมโยงกับการติดตั้งมัลแวร์สายพันธุ์ใหม่ที่เรียกว่า HTTPSnoop และ PipeSnoop เครื่องมือคุกคามเหล่านี้ช่วยให้ผู้คุกคามสามารถควบคุมอุปกรณ์ที่ถูกบุกรุกจากระยะไกลได้

มัลแวร์ HTTPSnoop ใช้ประโยชน์จากไดรเวอร์เคอร์เนล Windows HTTP และอุปกรณ์เพื่อดำเนินการเนื้อหาเฉพาะบนปลายทางที่ติดไวรัสผ่าน URL HTTP(S) ในทางกลับกัน PipeSnoop ได้รับการออกแบบมาเพื่อรับและดำเนินการเชลล์โค้ดที่กำหนดเองผ่านไปป์ที่มีชื่อ

ตามรายงานที่ออกโดยนักวิจัยด้านความปลอดภัยทางไซเบอร์ที่ประสบความสำเร็จในการเปิดเผยแคมเปญการโจมตีนี้ ทั้ง HTTPSnoop และ PipeSnoop ล้วนมาจากกลุ่มการบุกรุกกลุ่มเดียวกัน ซึ่งระบุว่าเป็น 'ShroudedSnooper' อย่างไรก็ตาม ภัยคุกคามทั้งสองมีวัตถุประสงค์ในการปฏิบัติงานที่แตกต่างกันในแง่ของระดับการแทรกซึม

มัลแวร์ HTTPSnoop ดำเนินการพิเศษสำหรับผู้โจมตี

HTTPSnoop ใช้ Windows API ระดับต่ำเพื่อตรวจสอบการรับส่งข้อมูล HTTP(S) บนอุปกรณ์ที่ติดไวรัส โดยกำหนดเป้าหมายไปที่ URL ที่กำหนดไว้ล่วงหน้าโดยเฉพาะ เมื่อตรวจพบ URL เหล่านี้ มัลแวร์จะดำเนินการถอดรหัสข้อมูลที่เข้ารหัส Base64 ขาเข้าจาก URL เหล่านั้น และดำเนินการเป็นเชลล์โค้ดบนโฮสต์ที่ถูกบุกรุก

การฝังที่ไม่ปลอดภัยนี้เปิดใช้งานบนระบบเป้าหมายผ่านการไฮแจ็ค DLL ประกอบด้วยองค์ประกอบหลักสองส่วน: ประการแรก เชลล์โค้ดขั้นที่ 2 ซึ่งรับผิดชอบในการตั้งค่าเว็บเซิร์ฟเวอร์แบ็คดอร์ผ่านการเรียกเคอร์เนล และประการที่สอง การกำหนดค่า

HTTPSnoop สร้างลูปการฟัง โดยอดทนรอคำขอ HTTP ที่เข้ามา และประมวลผลข้อมูลที่ถูกต้องอย่างมีประสิทธิภาพเมื่อมาถึง ในกรณีที่ข้อมูลขาเข้าไม่ถูกต้อง มัลแวร์จะส่งคืนการเปลี่ยนเส้นทาง HTTP 302

เมื่อถอดรหัสเชลล์โค้ดที่ได้รับ จะดำเนินการทันที และผลการดำเนินการจะถูกส่งกลับไปยังผู้โจมตีในรูปแบบของบล็อกข้อมูลที่เข้ารหัส XOR ที่เข้ารหัส base64

นอกจากนี้ อุปกรณ์ปลูกถ่ายนี้ยังใช้ความระมัดระวังเพื่อหลีกเลี่ยงความขัดแย้งกับ URL ที่กำหนดค่าไว้ก่อนหน้านี้บนเซิร์ฟเวอร์ เพื่อให้มั่นใจว่าการทำงานจะราบรื่นโดยไม่มีการชนกันโดยไม่ได้ตั้งใจ

ผู้เชี่ยวชาญได้ค้นพบมัลแวร์ HTTPSnoop หลายรูปแบบ

จนถึงขณะนี้มี HTTPSnoop ที่แตกต่างกันสามรูปแบบที่สังเกตได้ โดยแต่ละรูปแบบใช้รูปแบบการฟัง URL ที่ไม่ซ้ำกัน รูปแบบแรกตรวจสอบคำขอที่ใช้ HTTP URL ทั่วไป ในขณะที่รูปแบบที่สองมุ่งเน้นไปที่ URL ที่เลียนแบบ Microsoft Exchange Web Service ในขณะเดียวกัน เวอร์ชันที่สามก็กำหนดเป้าหมาย URL ที่จำลอง LBS/OfficeTrack และแอปพลิเคชันโทรศัพท์ของ OfficeCore

ตัวแปรเหล่านี้ถูกค้นพบในเดือนเมษายน 2023 และที่น่าสังเกตก็คือ ตัวแปรล่าสุดมีจำนวน URL ที่ตรวจสอบลดลง ซึ่งมีแนวโน้มที่จะเพิ่มความสามารถในการซ่อนตัว

ด้วยการเลียนแบบรูปแบบ URL ที่ถูกต้องตามกฎหมายซึ่งเชื่อมโยงกับ Microsoft Exchange Web Services และ OfficeTrack คำขอที่ฉ้อโกงเหล่านี้มีลักษณะคล้ายกับการรับส่งข้อมูลที่ไม่เป็นอันตราย ทำให้เป็นเรื่องยากมากที่จะแยกความแตกต่างจากคำขอที่ถูกต้องตามกฎหมาย

ภูมิทัศน์ของมัลแวร์ที่มีการพัฒนาอยู่ตลอดเวลาก่อให้เกิดภัยคุกคามที่น่าเกรงขามและต่อเนื่องในยุคดิจิทัลของเรา มัลแวร์ไม่เพียงแต่สร้างความรำคาญเท่านั้น แต่ยังเป็นศัตรูที่น่าเกรงขามซึ่งสามารถสร้างความหายนะให้กับบุคคล องค์กร และแม้แต่ประเทศชาติได้ การเฝ้าระวัง การศึกษา และมาตรการรักษาความปลอดภัยทางไซเบอร์ที่แข็งแกร่งคือการป้องกันที่ดีที่สุดของเราต่อภัยคุกคามที่ไม่หยุดยั้งนี้ การรับทราบข้อมูลและการนำแนวทางปฏิบัติที่ดีที่สุดในการรักษาความปลอดภัยออนไลน์มาใช้ไม่ได้เป็นเพียงทางเลือกเท่านั้น มันเป็นสิ่งจำเป็นในการปกป้องชีวิตดิจิทัลของเราและรักษาความสมบูรณ์ของโลกที่เชื่อมต่อถึงกันของเรา