HTTPSnoop Kötü Amaçlı Yazılım
Orta Doğu'daki telekomünikasyon hizmet sağlayıcılarını hedef alan bir siber saldırı dalgası, HTTPSnoop ve PipeSnoop olarak bilinen yeni kötü amaçlı yazılım türlerinin yayılmasıyla ilişkilendirildi. Bu tehdit edici araçlar, tehdit aktörlerinin ele geçirilen cihazlar üzerinde uzaktan kontrol sahibi olmalarını sağlar.
HTTPSnoop kötü amaçlı yazılımı, HTTP(S) URL'leri aracılığıyla virüslü uç noktalarda belirli içerikleri yürütmek için Windows HTTP çekirdek sürücülerinden ve aygıtlarından yararlanır. Öte yandan PipeSnoop, adlandırılmış bir kanal aracılığıyla rastgele kabuk kodlarını almak ve yürütmek için tasarlanmıştır.
Bu saldırı kampanyasını başarıyla ortaya çıkaran siber güvenlik araştırmacıları tarafından yayınlanan bir rapora göre, hem HTTPSnoop hem de PipeSnoop, 'ShroudedSnooper' olarak tanımlanan aynı izinsiz giriş grubuna atfediliyor. Ancak iki tehdit, sızma düzeyleri açısından farklı operasyonel amaçlara hizmet ediyor.
HTTPSnoop Kötü Amaçlı Yazılımı Saldırganlara Özel Eylemler Gerçekleştiriyor
HTTPSnoop, virüs bulaşmış bir cihazdaki HTTP(S) trafiğini izlemek için özellikle önceden tanımlanmış URL'leri hedefleyerek düşük düzeyli Windows API'leri kullanır. Kötü amaçlı yazılım, bu URL'leri tespit ettikten sonra onlardan gelen base64 kodlu verilerin kodunu çözer ve bunu tehlikeye atılan ana bilgisayarda bir kabuk kodu olarak yürütür.
DLL ele geçirme yoluyla hedef sistemde etkinleştirilen bu güvenli olmayan implant, iki temel bileşenden oluşur: birincisi, çekirdek çağrıları yoluyla bir arka kapı Web sunucusunun kurulmasından sorumlu olan 2. aşama kabuk kodu ve ikincisi, yapılandırması.
HTTPSnoop, gelen HTTP isteklerini sabırla bekleyen bir dinleme döngüsü oluşturur ve bu istekler geldiğinde geçerli verileri verimli bir şekilde işler. Gelen verilerin geçerli olmadığı durumlarda, kötü amaçlı yazılım bir HTTP 302 yönlendirmesi döndürüyor.
Alınan kabuk kodunun şifresi çözüldükten sonra derhal yürütülür ve yürütme sonuçları, base64 kodlu XOR kodlu veri blokları biçiminde saldırganlara geri iletilir.
Ek olarak bu implant, sunucuda önceden yapılandırılmış URL'lerle çakışmaları önlemek için önlemler alarak, kasıtsız çakışmalar olmadan sorunsuz çalışmayı garanti eder.
Uzmanlar Çeşitli HTTPSnoop Kötü Amaçlı Yazılım Türlerini Ortaya Çıkardı
Şu ana kadar her biri benzersiz URL dinleme kalıpları kullanan üç farklı HTTPSnoop çeşidi gözlemlendi. İlk değişken genel HTTP URL'si tabanlı istekleri izlerken, ikinci değişken Microsoft Exchange Web Service'i taklit eden URL'lere odaklanır. Bu arada üçüncü değişken, OfficeCore'un LBS/OfficeTrack ve telefon uygulamalarını taklit eden URL'leri hedefliyor.
Bu varyantlar Nisan 2023'te keşfedildi ve özellikle en yenisinin izlediği URL sayısı azaltıldı, bu da muhtemelen gizlilik yeteneklerini artırıyor.
Microsoft Exchange Web Hizmetleri ve OfficeTrack ile ilişkili meşru URL modellerini taklit eden bu sahte istekler, zararsız trafiğe çok benzemektedir ve bu durum, bunların meşru isteklerden ayırt edilmesini son derece zorlaştırmaktadır.
Kötü amaçlı yazılımların sürekli gelişen ortamı, dijital çağımızda zorlu ve kalıcı bir tehdit oluşturmaktadır. Kötü amaçlı yazılım yalnızca bir baş belası değil aynı zamanda bireylere, kuruluşlara ve hatta uluslara zarar verebilecek zorlu bir düşmandır. Dikkat, eğitim ve sağlam siber güvenlik önlemleri bu amansız tehdide karşı en iyi savunmamızdır. Çevrimiçi güvenlikte bilgi sahibi olmak ve en iyi uygulamaları benimsemek yalnızca bir seçim değildir; dijital yaşamlarımızı ve birbirine bağlı dünyamızın bütünlüğünü korumak için bir zorunluluktur.
