HTTPSnoop-Malware

Eine Welle von Cyberangriffen auf Telekommunikationsdienstleister im Nahen Osten wurde mit der Einführung neuer Malware-Stämme namens HTTPSnoop und PipeSnoop in Verbindung gebracht. Diese Bedrohungstools ermöglichen es Bedrohungsakteuren, die Fernkontrolle über kompromittierte Geräte zu erlangen.

Die HTTPSnoop-Malware nutzt Windows-HTTP-Kernel-Treiber und -Geräte, um bestimmte Inhalte über HTTP(S)-URLs auf infizierten Endpunkten auszuführen. Andererseits ist PipeSnoop darauf ausgelegt, beliebige Shellcodes über eine Named Pipe zu empfangen und auszuführen.

Laut einem Bericht von Cybersicherheitsforschern, die diese Angriffskampagne erfolgreich aufgedeckt haben, werden sowohl HTTPSnoop als auch PipeSnoop derselben Eindringlingsgruppe zugeordnet, die als „ShroudedSnooper“ bezeichnet wird. Allerdings dienen die beiden Bedrohungen hinsichtlich ihres Infiltrationsgrads unterschiedlichen operativen Zwecken.

Die HTTPSnoop-Malware führt spezielle Aktionen für die Angreifer aus

HTTPSnoop nutzt Low-Level-Windows-APIs, um den HTTP(S)-Verkehr auf einem infizierten Gerät zu überwachen und dabei insbesondere auf vordefinierte URLs abzuzielen. Sobald die Malware diese URLs erkennt, dekodiert sie die von ihnen eingehenden Base64-kodierten Daten und führt sie als Shellcode auf dem kompromittierten Host aus.

Dieses unsichere Implantat, das über DLL-Hijacking auf dem Zielsystem aktiviert wird, besteht aus zwei Schlüsselkomponenten: erstens dem Shellcode der Stufe 2, der für die Einrichtung eines Hintertür-Webservers über Kernel-Aufrufe verantwortlich ist, und zweitens seiner Konfiguration.

HTTPSnoop richtet eine Abhörschleife ein, wartet geduldig auf eingehende HTTP-Anfragen und verarbeitet gültige Daten bei deren Eintreffen effizient. In Fällen, in denen eingehende Daten ungültig sind, gibt die Malware eine HTTP 302-Umleitung zurück.

Nach der Entschlüsselung des empfangenen Shellcodes wird dieser umgehend ausgeführt und die Ausführungsergebnisse werden in Form von Base64-codierten XOR-codierten Datenblöcken an die Angreifer zurückgesendet.

Darüber hinaus trifft dieses Implantat Vorkehrungen, um Konflikte mit zuvor konfigurierten URLs auf dem Server zu vermeiden und so einen reibungslosen Betrieb ohne unbeabsichtigte Konflikte zu gewährleisten.

Experten haben mehrere HTTPSnoop-Malware-Varianten entdeckt

Bisher wurden drei verschiedene Varianten von HTTPSnoop beobachtet, die jeweils einzigartige URL-Listening-Muster verwenden. Die erste Variante überwacht allgemeine HTTP-URL-basierte Anfragen, während sich die zweite Variante auf URLs konzentriert, die den Microsoft Exchange Web Service nachahmen. Die dritte Variante zielt hingegen auf URLs ab, die die LBS/OfficeTrack- und Telefonieanwendungen von OfficeCore emulieren.

Diese Varianten wurden im April 2023 entdeckt und insbesondere verfügt die neueste Variante über eine reduzierte Anzahl von URLs, die sie überwacht, was wahrscheinlich ihre Stealth-Fähigkeiten verbessert.

Durch die Nachahmung legitimer URL-Muster im Zusammenhang mit Microsoft Exchange Web Services und OfficeTrack ähneln diese betrügerischen Anfragen stark harmlosem Datenverkehr, was es äußerst schwierig macht, sie von legitimen Anfragen zu unterscheiden.

Die sich ständig weiterentwickelnde Malware-Landschaft stellt in unserem digitalen Zeitalter eine gewaltige und anhaltende Bedrohung dar. Malware ist nicht nur ein Ärgernis, sondern ein gewaltiger Gegner, der bei Einzelpersonen, Organisationen und sogar Nationen verheerenden Schaden anrichten kann. Wachsamkeit, Aufklärung und robuste Cybersicherheitsmaßnahmen sind unsere beste Verteidigung gegen diese unerbittliche Bedrohung. Auf dem Laufenden zu bleiben und Best Practices im Bereich Online-Sicherheit zu übernehmen, ist nicht nur eine Entscheidung; Dies ist eine Notwendigkeit für den Schutz unseres digitalen Lebens und die Wahrung der Integrität unserer vernetzten Welt.