Шкідливе програмне забезпечення HTTPSnoop

Хвиля кібератак, націлених на постачальників телекомунікаційних послуг на Близькому Сході, була пов’язана з розгортанням нових штамів шкідливого програмного забезпечення, відомих як HTTPSnoop і PipeSnoop. Ці загрозливі інструменти дозволяють зловмисникам отримати дистанційний контроль над скомпрометованими пристроями.

Зловмисне програмне забезпечення HTTPSnoop використовує драйвери й пристрої HTTP ядра Windows для виконання певного вмісту на заражених кінцевих точках через URL-адреси HTTP(S). З іншого боку, PipeSnoop призначений для отримання та виконання довільних шелл-кодів через іменований канал.

Відповідно до звіту, опублікованого дослідниками кібербезпеки, які успішно розкрили цю кампанію атак, і HTTPSnoop, і PipeSnoop віднесені до однієї групи вторгнень, ідентифікованої як «ShroudedSnooper». Однак ці дві загрози служать різним оперативним цілям з точки зору рівня проникнення.

Зловмисне програмне забезпечення HTTPSnoop виконує спеціальні дії для зловмисників

HTTPSnoop використовує низькорівневі API Windows для моніторингу трафіку HTTP(S) на зараженому пристрої, зокрема націлюючись на попередньо визначені URL-адреси. Виявивши ці URL-адреси, зловмисне програмне забезпечення починає декодувати вхідні з них дані в кодуванні base64 і виконує їх як шелл-код на скомпрометованому хості.

Цей небезпечний імплантат, активований у цільовій системі через викрадення DLL, складається з двох ключових компонентів: по-перше, шелл-код етапу 2, який відповідає за налаштування бекдор-сервера через виклики ядра, і по-друге, його конфігурацію.

HTTPSnoop встановлює цикл прослуховування, терпляче очікуючи вхідних HTTP-запитів і ефективно обробляючи дійсні дані після їх надходження. У випадках, коли вхідні дані недійсні, зловмисне програмне забезпечення повертає перенаправлення HTTP 302.

Після розшифровки отриманого шелл-коду він негайно виконується, а результати виконання передаються назад зловмисникам у вигляді блоків даних у кодуванні base64 і кодуванні XOR.

Крім того, цей імплантат вживає заходів обережності, щоб уникнути конфліктів із попередньо налаштованими URL-адресами на сервері, забезпечуючи безперебійну роботу без випадкових конфліктів.

Експерти виявили кілька варіантів шкідливих програм HTTPSnoop

Існує три різні варіанти HTTPSnoop, у кожному з яких використовуються унікальні шаблони прослуховування URL-адрес. Перший варіант відстежує загальні запити HTTP на основі URL-адрес, тоді як другий варіант зосереджується на URL-адресах, які імітують веб-службу Microsoft Exchange. Тим часом третій варіант націлений на URL-адреси, які емулюють LBS/OfficeTrack OfficeCore та програми телефонії.

Ці варіанти були виявлені в квітні 2023 року, і, зокрема, останній має зменшену кількість URL-адрес, які він відстежує, що, ймовірно, покращить його стелс-можливості.

Завдяки імітації законних шаблонів URL-адрес, пов’язаних із веб-службами Microsoft Exchange і OfficeTrack, ці шахрайські запити дуже нагадують доброякісний трафік, тому відрізнити їх від законних запитів надзвичайно складно.

Постійно розвивається ландшафт зловмисного програмного забезпечення становить величезну й постійну загрозу в нашу цифрову епоху. Зловмисне програмне забезпечення — це не просто незручність, а й грізний ворог, здатний завдати шкоди окремим особам, організаціям і навіть націям. Пильність, освіта та надійні заходи кібербезпеки є нашим найкращим захистом від цієї невпинної загрози. Бути поінформованим і застосовувати найкращі методи безпеки в Інтернеті – це не просто вибір; це необхідність для захисту нашого цифрового життя та збереження цілісності нашого взаємопов’язаного світу.