據(jù)The Hacker News消息，Cisco Talos分享的一份報告顯示，中東的電信服務(wù)提供商最近淪為ShroudedSnooper網(wǎng)絡(luò)威脅組織的目標(biāo)，并被部署了名為 HTTPSnoop 的隱形后門。

HTTPSnoop 是一種簡單而有效的后門程序，它采用新穎的技術(shù)與 Windows HTTP 內(nèi)核驅(qū)動程序和設(shè)備連接，以監(jiān)聽對特定 HTTP(S) URL 的傳入請求，并在受感染的端點上執(zhí)行這些內(nèi)容。此外，它還有一個代號為 PipeSnoop 的姊妹植入程序，可以接受來自命名管道的任意 shellcode并在受感染的端點上執(zhí)行。

研究人員懷疑 ShroudedSnooper 利用面向互聯(lián)網(wǎng)的服務(wù)器并部署 HTTPSnoop 來獲得對目標(biāo)環(huán)境的初始訪問權(quán)限，這兩種惡意軟件菌株都會冒充 Palo Alto Networks 的 Cortex XDR 應(yīng)用程序（“CyveraConsole.exe”）的組件以進(jìn)行隱藏。

到目前為止，研究人員已檢測到三個不同的 HTTPSnoop 樣本。該惡意軟件使用低級 Windows API 來偵聽與預(yù)定義 URL 模式匹配的傳入請求，然后提取 shellcode 在主機(jī)上執(zhí)行。

Talos 研究人員表示，HTTPSnoop 使用的 HTTP URL 以及與內(nèi)置 Windows Web 服務(wù)器的綁定表明，它很可能設(shè)計用于在互聯(lián)網(wǎng)公開的 Web 和 EWS 服務(wù)器上工作。但顧名思義，PipeSnoop 可以通過 Windows IPC 管道進(jìn)行讀取和寫入，以實現(xiàn)其輸入/輸出 (I/O) 功能。這表明該植入程序可能旨在在受感染的企業(yè)內(nèi)進(jìn)一步發(fā)揮作用，而不是像 HTTPSnoop 這樣面向公眾的服務(wù)器，并且可能旨在針對一些高價值目標(biāo)。

近年來，針對電信行業(yè)（尤其是中東地區(qū)）的攻擊已成為一種趨勢。2021 年 1 月，ClearSky發(fā)現(xiàn)了一系列由黎巴嫩 Cedar 策劃，針對美國、英國和中東亞洲電信運(yùn)營商的攻擊。同年 12 月，博通旗下的賽門鐵克揭露了可能是伊朗威脅組織MuddyWater（又名 Seedworm）針對中東和亞洲電信運(yùn)營商發(fā)起的間諜活動。