https://event.flydove.net/edm/web/infosecurity01/294502
https://event.flydove.net/edm/web/infosecurity01/294502

新聞

思科示警超隱形後門HTTPSnoop 鎖定電信商

2023 / 09 / 20
編輯部
思科示警超隱形後門HTTPSnoop 鎖定電信商
Cisco Talos報告顯示,中東的電信服務提供者最近淪為ShroudedSnooper網路威脅組織的目標,並被部署了名為 HTTPSnoop 的隱形後門。

HTTPSnoop 是一種簡單而有效的後門程式,它採用新技術與 Windows HTTP 內核驅動程式和設備連接,以監聽對特定 HTTP(S) URL 的傳入請求,並在受感染的端點上執行這些內容。此外,它還有一個代號為 PipeSnoop 的姊妹植入程式,可以接受來自具名管道的任意 shellcode,在受感染的端點上執行。

研究人員懷疑 ShroudedSnooper 利用網路公開的伺服器並部署 HTTPSnoop 來取得對目標環境的初始存取權限,這兩種惡意軟體都會冒充 Palo Alto Networks 的 Cortex XDR 應用程式(“CyveraConsole.exe”)的元件以進行隱藏。
 
到目前為止,研究人員已檢測到三個不同的 HTTPSnoop 樣本。該惡意軟體使用低階 Windows API 來偵聽與預定義 URL 模式匹配的傳入請求,然後提取 shellcode 在主機上執行。

Cisco Talos 研究人員表示,HTTPSnoop 使用的 HTTP URL 以及與內置 Windows Web 伺服器的綁定表明,它很可能設計用於在網路公開的 Web 和 EWS 伺服器上工作。

但顧名思義,PipeSnoop 可以通過 Windows IPC 管道進行讀取和寫入,以實現其輸入/輸出 (I/O) 功能。這表明該植入程式可能針對受感染的企業內進一步發揮作用,而不是像 HTTPSnoop 這樣面向公眾的伺服器,並且可能旨在針對一些高價值目標。
 
近年來,針對電信行業的攻擊已成為一種趨勢。2021 年 1 月,ClearSky發現了一系列由黎巴嫩 Cedar 策劃,針對美國、英國和中東亞洲電信運營商的攻擊。同年 12 月,博通旗下的賽門鐵克揭露了可能是伊朗威脅組織MuddyWater(又名 Seedworm)針對中東和亞洲電信運營商發起的間諜活動。

本文轉載自TheHackerNews。