思科示警超隱形後門HTTPSnoop 鎖定電信商

Cisco Talos報告顯示，中東的電信服務提供者最近淪為ShroudedSnooper網路威脅組織的目標，並被部署了名為 HTTPSnoop 的隱形後門。

HTTPSnoop 是一種簡單而有效的後門程式，它採用新技術與 Windows HTTP 內核驅動程式和設備連接，以監聽對特定 HTTP(S) URL 的傳入請求，並在受感染的端點上執行這些內容。此外，它還有一個代號為 PipeSnoop 的姊妹植入程式，可以接受來自具名管道的任意 shellcode，在受感染的端點上執行。

研究人員懷疑 ShroudedSnooper 利用網路公開的伺服器並部署 HTTPSnoop 來取得對目標環境的初始存取權限，這兩種惡意軟體都會冒充 Palo Alto Networks 的 Cortex XDR 應用程式（“CyveraConsole.exe”）的元件以進行隱藏。
 
到目前為止，研究人員已檢測到三個不同的 HTTPSnoop 樣本。該惡意軟體使用低階 Windows API 來偵聽與預定義 URL 模式匹配的傳入請求，然後提取 shellcode 在主機上執行。

Cisco Talos 研究人員表示，HTTPSnoop 使用的 HTTP URL 以及與內置 Windows Web 伺服器的綁定表明，它很可能設計用於在網路公開的 Web 和 EWS 伺服器上工作。

但顧名思義，PipeSnoop 可以通過 Windows IPC 管道進行讀取和寫入，以實現其輸入/輸出 (I/O) 功能。這表明該植入程式可能針對受感染的企業內進一步發揮作用，而不是像 HTTPSnoop 這樣面向公眾的伺服器，並且可能旨在針對一些高價值目標。
 
近年來，針對電信行業的攻擊已成為一種趨勢。2021 年 1 月，ClearSky發現了一系列由黎巴嫩 Cedar 策劃，針對美國、英國和中東亞洲電信運營商的攻擊。同年 12 月，博通旗下的賽門鐵克揭露了可能是伊朗威脅組織MuddyWater（又名 Seedworm）針對中東和亞洲電信運營商發起的間諜活動。

本文轉載自TheHackerNews。