HTTPSnoop 惡意軟體

針對中東電信服務供應商的一波網路攻擊與 HTTPSnoop 和 PipeSnoop 等新型惡意軟體的部署有關。這些威脅工具使威脅行為者能夠遠端控制受感染的裝置。

HTTPSnoop 惡意軟體利用 Windows HTTP 核心驅動程式和裝置透過 HTTP(S) URL 在受感染端點上執行特定內容。另一方面，PipeSnoop 被設計為透過命名管道接收和執行任意 shellcode。

根據成功發現此攻擊活動的網路安全研究人員發布的報告，HTTPSnoop 和 PipeSnoop 均歸因於同一入侵組織，識別為「ShroudedSnooper」。然而，這兩種威脅在滲透程度方面有不同的作戰目的。

HTTPSnoop 惡意軟體為攻擊者執行專門的操作

HTTPSnoop 使用低階 Windows API 來監視受感染裝置上的 HTTP(S) 流量，特別是針對預先定義的 URL。偵測到這些 URL 後，惡意軟體會繼續解碼來自這些 URL 的傳入 Base64 編碼數據，並將其作為 shellcode 在受感染的主機上執行。

這種不安全的植入程式透過 DLL 劫持在目標系統上激活，包含兩個關鍵組件：第一個是第二階段 shellcode，負責透過核心呼叫設定後門 Web 伺服器；第二是其配置。

HTTPSnoop 建立偵聽循環，耐心等待傳入的 HTTP 請求，並在有效資料到達時有效處理。如果傳入資料無效，惡意軟體會傳回 HTTP 302 重新導向。

接收的shellcode解密後立即執行，執行結果以base64編碼的異或編碼資料塊的形式傳回給攻擊者。

此外，此植入程式會採取預防措施，以避免與伺服器上先前配置的 URL 發生衝突，從而確保平穩運行，不會出現意外衝突。

專家發現了幾種 HTTPSnoop 惡意軟體變體

到目前為止，已觀察到 HTTPSnoop 的三種不同變體，每種變體都採用獨特的 URL 偵聽模式。第一個變體監視是基於常規 HTTP URL 的請求，而第二個變體則著重於模仿 Microsoft Exchange Web 服務的 URL。同時，第三個變體的目標是模擬 OfficeCore 的 LBS/OfficeTrack 和電話應用程式的 URL。

這些變體於 2023 年 4 月被發現，值得注意的是，最近的變體減少了其監控的 URL 數量，這可能會增強其隱密能力。

透過模仿與 Microsoft Exchange Web Services 和 OfficeTrack 相關的合法 URL 模式，這些詐欺性請求與良性流量非常相似，因此將它們與合法請求區分開來非常困難。

不斷發展的惡意軟體格局對我們的數位時代構成了巨大且持續的威脅。惡意軟體不僅是一種麻煩，而且是一個強大的對手，能夠對個人、組織甚至國家造成嚴重破壞。保持警覺、教育和強有力的網路安全措施是我們抵禦這項無情威脅的最佳防禦措施。及時了解情況並採用線上安全方面的最佳實踐不僅僅是一種選擇，更是一種選擇。這是保護我們的數位生活和維護互聯世界完整性的必要條件。