歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
新聞
您現在位置 : 首頁 >
新聞
思科示警超隱形後門HTTPSnoop 鎖定電信商
2023 / 09 / 20
編輯部
Cisco Talos報告顯示,中東的電信服務提供者最近淪為ShroudedSnooper網路威脅組織的目標,並被部署了名為 HTTPSnoop 的隱形後門。
HTTPSnoop 是一種簡單而有效的後門程式,它採用新技術與 Windows HTTP 內核驅動程式和設備連接,以監聽對特定 HTTP(S) URL 的傳入請求,並在受感染的端點上執行這些內容。此外,它還有一個代號為 PipeSnoop 的姊妹植入程式,可以接受來自具名管道的任意 shellcode,在受感染的端點上執行。
研究人員懷疑
ShroudedSnooper 利用網路公開的伺服器並部署 HTTPSnoop 來取得對目標環境的初始存取權限,這兩種惡意軟體都會冒充 Palo Alto Networks 的 Cortex XDR 應用程式(“CyveraConsole.exe”)的元件以進行隱藏。
到目前為止,研究人員已檢測到三個不同的 HTTPSnoop 樣本。該惡意軟體使用低階 Windows API 來偵聽與預定義 URL 模式匹配的傳入請求,然後提取 shellcode 在主機上執行。
Cisco Talos 研究人員表示,HTTPSnoop 使用的 HTTP URL 以及與內置 Windows Web 伺服器的綁定表明,它很可能設計用於在網路公開的 Web 和 EWS 伺服器上工作。
但顧名思義,PipeSnoop 可以通過 Windows IPC 管道進行讀取和寫入,以實現其輸入/輸出 (I/O) 功能。這表明該植入程式可能針對受感染的企業內進一步發揮作用,而不是像 HTTPSnoop 這樣面向公眾的伺服器,並且可能旨在針對一些高價值目標。
近年來,針對電信行業的攻擊已成為一種趨勢。2021 年 1 月,ClearSky發現了一系列由黎巴嫩 Cedar 策劃,針對美國、英國和中東亞洲電信運營商的攻擊。同年 12 月,博通旗下的賽門鐵克揭露了可能是伊朗威脅組織MuddyWater(又名 Seedworm)針對中東和亞洲電信運營商發起的間諜活動。
本文轉載自TheHackerNews。
間諜軟體
後門程式
最新活動
2025.02.19
2025資安365年會
2025.02.11
【2025 叡揚資安趨勢講堂】
2025.02.15
2025年ipas資訊安全工程師(初級/中級)-能力培訓班
看更多活動
大家都在看
Microsoft Outlook發現嚴重RCE漏洞,已遭駭客利用攻擊
報告:2024年受攻擊資安漏洞達768個,較2023年多兩成
合勤科技:停產路由器漏洞不予修補,建議用戶汰換設備
2024年活躍的勒索軟體集團超過 75 個,較2023成長7成多
美國CISA 將微軟 .NET 和 Apache OFBiz 漏洞列入KEV並要求修補 Linux 內核漏洞
資安人科技網
文章推薦
鎖定華語使用者!假Chrome下載網站散布ValleyRAT木馬程式
Microsoft Outlook發現嚴重RCE漏洞,已遭駭客利用攻擊
駭客利用 SimpleHelp RMM 漏洞發動持續性攻擊與勒索軟體入侵