HTTPSnoop マルウェア

中東の電気通信サービスプロバイダーを標的としたサイバー攻撃の波は、HTTPSnoop および PipeSnoop として知られる新しいマルウェア株の展開に関連していると考えられています。これらの脅威ツールを使用すると、攻撃者は侵害されたデバイスをリモート制御できるようになります。

HTTPSnoop マルウェアは、Windows HTTP カーネル ドライバーとデバイスを利用して、感染したエンドポイント上で HTTP(S) URL 経由で特定のコンテンツを実行します。一方、PipeSnoop は、名前付きパイプを通じて任意のシェルコードを受信して実行するように設計されています。

この攻撃キャンペーンの解明に成功したサイバーセキュリティ研究者が発行したレポートによると、HTTPSnoop と PipeSnoop は両方とも、「ShroudedSnooper」として識別される同じ侵入グループに属していると考えられます。ただし、2 つの脅威は、侵入レベルの点で異なる運用目的を果たします。

HTTPSnoop マルウェアは攻撃者に特化したアクションを実行します

HTTPSnoop は、低レベルの Windows API を使用して、感染したデバイス上の HTTP(S) トラフィックを監視し、特に事前定義された URL をターゲットにします。これらの URL を検出すると、マルウェアはそこから受信した Base64 でエンコードされたデータをデコードし、侵害されたホスト上でシェルコードとして実行します。

DLL ハイジャックを介してターゲット システム上でアクティブ化されるこの安全でないインプラントは、2 つの主要なコンポーネントで構成されます。1 つは、カーネル呼び出しを通じてバックドア Web サーバーをセットアップする役割を担うステージ 2 のシェルコードで、2 つ目はその構成です。

HTTPSnoop はリスニング ループを確立し、受信 HTTP リクエストを辛抱強く待ち、到着時に有効なデータを効率的に処理します。受信データが有効でない場合、マルウェアは HTTP 302 リダイレクトを返します。

受信したシェルコードは復号化されるとすぐに実行され、実行結果は Base64 でエンコードされた XOR エンコードされたデータ ブロックの形式で攻撃者に送信されます。

さらに、このインプラントは、サーバー上で以前に構成された URL との競合を回避するための予防策を講じ、不注意による衝突のないスムーズな動作を保証します。

専門家が複数の HTTPSnoop マルウェア亜種を発見

これまでに観察された HTTPSnoop には 3 つの異なる亜種があり、それぞれが独自の URL リスニング パターンを採用しています。最初のバリアントは一般的な HTTP URL ベースのリクエストを監視し、2 番目のバリアントは Microsoft Exchange Web サービスを模倣した URL に焦点を当てています。一方、3 番目の亜種は、OfficeCore の LBS/OfficeTrack およびテレフォニー アプリケーションをエミュレートする URL をターゲットにしています。

これらの亜種は 2023 年 4 月に発見され、特に最新のものでは監視する URL の数が減り、ステルス機能が強化される可能性があります。

これらの不正なリクエストは、Microsoft Exchange Web サービスおよび OfficeTrack に関連付けられた正規の URL パターンを模倣することにより、良性のトラフィックに非常に似ており、正規のリクエストと区別することが非常に困難になります。

進化を続けるマルウェアの状況は、デジタル時代において手ごわい、持続的な脅威となっています。マルウェアは単なる迷惑者ではなく、個人、組織、さらには国家に大損害を与える可能性のある恐るべき敵です。警戒、教育、強力なサイバーセキュリティ対策が、この容赦ない脅威に対する最善の防御策です。オンライン セキュリティに関する情報を常に入手し、ベスト プラクティスを採用することは、単なる選択ではありません。それは私たちのデジタル生活を守り、相互接続された世界の完全性を維持するために必要です。