Phần mềm độc hại HTTPSnoop
Một làn sóng tấn công mạng nhắm vào các nhà cung cấp dịch vụ viễn thông ở Trung Đông có liên quan đến việc triển khai các chủng phần mềm độc hại mới có tên HTTPSnoop và PipeSnoop. Những công cụ đe dọa này cho phép tác nhân đe dọa giành quyền kiểm soát từ xa đối với các thiết bị bị xâm nhập.
Phần mềm độc hại HTTPSnoop tận dụng các thiết bị và trình điều khiển nhân HTTP của Windows để thực thi nội dung cụ thể trên các điểm cuối bị nhiễm thông qua URL HTTP(S). Mặt khác, PipeSnoop được thiết kế để nhận và thực thi các shellcode tùy ý thông qua một đường dẫn có tên.
Theo báo cáo do các nhà nghiên cứu an ninh mạng phát hiện thành công chiến dịch tấn công này, cả HTTPSnoop và PipeSnoop đều thuộc cùng một nhóm xâm nhập, được xác định là 'ShroudedSnooper'. Tuy nhiên, hai mối đe dọa này phục vụ các mục đích hoạt động khác nhau xét về mức độ xâm nhập của chúng.
Phần mềm độc hại HTTPSnoop thực hiện các hành động đặc biệt dành cho kẻ tấn công
HTTPSnoop sử dụng API Windows cấp thấp để giám sát lưu lượng HTTP(S) trên thiết bị bị nhiễm, đặc biệt nhắm mục tiêu các URL được xác định trước. Khi phát hiện các URL này, phần mềm độc hại sẽ tiến hành giải mã dữ liệu được mã hóa base64 đến từ chúng và thực thi nó dưới dạng shellcode trên máy chủ bị xâm nhập.
Bộ cấy không an toàn này, được kích hoạt trên hệ thống đích thông qua việc chiếm quyền điều khiển DLL, bao gồm hai thành phần chính: thứ nhất, shellcode giai đoạn 2, chịu trách nhiệm thiết lập máy chủ Web cửa sau thông qua lệnh gọi kernel và thứ hai, cấu hình của nó.
HTTPSnoop thiết lập một vòng lắng nghe, kiên nhẫn chờ đợi các yêu cầu HTTP đến và xử lý hiệu quả dữ liệu hợp lệ khi chúng đến. Trong trường hợp dữ liệu đến không hợp lệ, phần mềm độc hại sẽ trả về chuyển hướng HTTP 302.
Sau khi giải mã shellcode nhận được, nó sẽ được thực thi ngay lập tức và kết quả thực thi được truyền lại cho kẻ tấn công dưới dạng khối dữ liệu được mã hóa XOR được mã hóa base64.
Ngoài ra, bộ cấy này còn thực hiện các biện pháp phòng ngừa để tránh xung đột với các URL đã được định cấu hình trước đó trên máy chủ, đảm bảo hoạt động trơn tru mà không xảy ra xung đột vô ý.
Các chuyên gia đã phát hiện ra một số biến thể phần mềm độc hại HTTPSnoop
Cho đến nay, có ba biến thể HTTPSnoop riêng biệt được quan sát với mỗi biến thể sử dụng các mẫu nghe URL duy nhất. Biến thể đầu tiên giám sát các yêu cầu chung dựa trên URL HTTP, trong khi biến thể thứ hai tập trung vào các URL bắt chước Dịch vụ web Microsoft Exchange. Trong khi đó, biến thể thứ ba nhắm mục tiêu các URL mô phỏng LBS/OfficeTrack và các ứng dụng điện thoại của OfficeCore.
Những biến thể này được phát hiện vào tháng 4 năm 2023 và đáng chú ý là biến thể gần đây nhất có số lượng URL mà nó giám sát giảm, có khả năng nâng cao khả năng tàng hình của nó.
Bằng cách bắt chước các mẫu URL hợp pháp được liên kết với Dịch vụ web Microsoft Exchange và OfficeTrack, các yêu cầu gian lận này gần giống với lưu lượng truy cập vô hại, khiến việc phân biệt chúng với các yêu cầu hợp pháp trở nên cực kỳ khó khăn.
Bối cảnh ngày càng phát triển của phần mềm độc hại đặt ra mối đe dọa ghê gớm và dai dẳng trong thời đại kỹ thuật số của chúng ta. Phần mềm độc hại không chỉ đơn thuần là mối phiền toái mà còn là một đối thủ đáng gờm có khả năng tàn phá các cá nhân, tổ chức và thậm chí cả các quốc gia. Cảnh giác, giáo dục và các biện pháp an ninh mạng mạnh mẽ là những biện pháp phòng vệ tốt nhất của chúng ta trước mối đe dọa không ngừng này. Luôn cập nhật thông tin và áp dụng các phương pháp hay nhất về bảo mật trực tuyến không chỉ là một lựa chọn; đó là điều cần thiết trong việc bảo vệ cuộc sống số của chúng ta và duy trì tính toàn vẹn của thế giới kết nối của chúng ta.
