HTTPSnoop Malware

Ang isang alon ng cyberattacks na nagta-target sa mga provider ng serbisyo ng telekomunikasyon sa Middle East ay na-link sa pag-deploy ng mga bagong strain ng malware na kilala bilang HTTPSnoop at PipeSnoop. Ang mga nagbabantang tool na ito ay nagbibigay-daan sa mga aktor ng pagbabanta na makakuha ng malayuang kontrol sa mga nakompromisong device.

Ginagamit ng HTTPSnoop malware ang mga driver at device ng Windows HTTP kernel para magsagawa ng partikular na content sa mga nahawaang endpoint sa pamamagitan ng HTTP(S) na mga URL. Sa kabilang banda, ang PipeSnoop ay idinisenyo upang tumanggap at magsagawa ng mga arbitrary na shellcode sa pamamagitan ng pinangalanang pipe.

Alinsunod sa isang ulat na inilabas ng mga mananaliksik sa cybersecurity na matagumpay na natuklasan ang kampanyang ito ng pag-atake, parehong iniuugnay ang HTTPSnoop at PipeSnoop sa parehong pangkat ng panghihimasok, na kinilala bilang 'ShroudedSnooper.' Gayunpaman, ang dalawang banta ay nagsisilbi ng mga natatanging layunin sa pagpapatakbo sa mga tuntunin ng kanilang antas ng paglusot.

Ang HTTPSnoop Malware ay Nagsasagawa ng Mga Espesyal na Pagkilos para sa mga Attacker

Gumagamit ang HTTPSnoop ng mga mababang antas ng Windows API upang subaybayan ang trapiko ng HTTP(S) sa isang nahawaang device, partikular na nagta-target ng mga paunang natukoy na URL. Sa pag-detect ng mga URL na ito, magpapatuloy ang malware sa pag-decode ng papasok na base64-encoded na data mula sa kanila at isagawa ito bilang isang shellcode sa nakompromisong host.

Ang hindi ligtas na implant na ito, na na-activate sa target na system sa pamamagitan ng DLL hijacking, ay binubuo ng dalawang pangunahing bahagi: una, ang stage 2 shellcode, na responsable sa pag-set up ng backdoor Web server sa pamamagitan ng kernel calls, at pangalawa, ang configuration nito.

Ang HTTPSnoop ay nagtatatag ng loop sa pakikinig, matiyagang naghihintay ng mga papasok na HTTP na kahilingan, at mahusay na nagpoproseso ng wastong data sa pagdating ng mga ito. Sa mga kaso kung saan hindi wasto ang papasok na data, nagbabalik ang malware ng HTTP 302 redirect.

Sa pag-decryption ng natanggap na shellcode, ito ay agad na isinasagawa, at ang mga resulta ng pagpapatupad ay ipinadala pabalik sa mga umaatake sa anyo ng base64-encoded XOR-encoded data blocks.

Bilang karagdagan, ang implant na ito ay nagsasagawa ng mga pag-iingat upang maiwasan ang mga salungatan sa mga dating na-configure na URL sa server, na tinitiyak ang maayos na operasyon nang walang hindi sinasadyang mga pag-aaway.

Natuklasan ng Mga Eksperto ang Ilang Variant ng HTTPSnoop Malware

Mayroong tatlong natatanging variant ng HTTPSnoop na naobserbahan sa ngayon sa bawat gumagamit ng natatanging mga pattern ng pakikinig ng URL. Sinusubaybayan ng unang variant ang mga pangkalahatang kahilingang nakabatay sa HTTP URL, habang ang pangalawang variant ay nakatuon sa mga URL na ginagaya ang Microsoft Exchange Web Service. Ang ikatlong variant, samantala, ay nagta-target ng mga URL na tumutulad sa LBS/OfficeTrack at mga aplikasyon ng telepono ng OfficeCore.

Natuklasan ang mga variant na ito noong Abril 2023, at kapansin-pansin, ang pinakabago ay may pinababang bilang ng mga URL na sinusubaybayan nito, na malamang na magpapahusay sa mga kakayahan nito sa pagnanakaw.

Sa pamamagitan ng paggaya sa mga lehitimong pattern ng URL na nauugnay sa Microsoft Exchange Web Services at OfficeTrack, ang mga mapanlinlang na kahilingang ito ay halos kahawig ng benign traffic, na ginagawang napakahirap na makilala ang mga ito mula sa mga lehitimong kahilingan.

Ang patuloy na umuusbong na tanawin ng malware ay nagdudulot ng kakila-kilabot at patuloy na banta sa ating digital age. Ang malware ay hindi lamang isang istorbo kundi isang mabigat na kalaban na may kakayahang magdulot ng kalituhan sa mga indibidwal, organisasyon, at maging sa mga bansa. Ang pagbabantay, edukasyon, at matatag na mga hakbang sa cybersecurity ay ang aming pinakamahusay na depensa laban sa walang humpay na banta na ito. Ang pananatiling may kaalaman at pagpapatibay ng pinakamahuhusay na kagawian sa online na seguridad ay hindi lamang isang pagpipilian; ito ay isang pangangailangan sa pagprotekta sa ating mga digital na buhay at pagpapanatili ng integridad ng ating magkakaugnay na mundo.