超隐形后门HTTPSnoop 正攻击中东电信公司

据The 超隐Hacker News消息，Cisco Talos分享的形后信一份报告显示，中东的正攻电信服务提供商最近沦为ShroudedSnooper网络威胁组织的目标，并被部署了名为 HTTPSnoop 的击中隐形后门 。

HTTPSnoop 是东电一种简单而有效的后门程序，源码下载它采用新颖的超隐技术与 Windows HTTP 内核驱动程序和设备连接  ，以监听对特定 HTTP(S) URL 的形后信传入请求，并在受感染的正攻端点上执行这些内容 。此外，击中它还有一个代号为 PipeSnoop 的东电姊妹植入程序，可以接受来自命名管道的建站模板超隐任意 shellcode并在受感染的端点上执行。

研究人员怀疑 ShroudedSnooper 利用面向互联网的形后信服务器并部署 HTTPSnoop 来获得对目标环境的初始访问权限，这两种恶意软件菌株都会冒充 Palo Alto Networks 的正攻 Cortex XDR 应用程序（“CyveraConsole.exe”）的组件以进行隐藏。

到目前为止 ，击中研究人员已检测到三个不同的云计算东电 HTTPSnoop 样本 。该恶意软件使用低级 Windows API 来侦听与预定义 URL 模式匹配的传入请求
，然后提取 shellcode 在主机上执行。

Talos 研究人员表示，HTTPSnoop 使用的 HTTP URL 以及与内置 Windows Web 服务器的绑定表明 ，它很可能设计用于在互联网公开的 Web 和 EWS 服务器上工作。服务器租用但顾名思义 ，PipeSnoop 可以通过 Windows IPC 管道进行读取和写入，以实现其输入/输出 (I/O) 功能。这表明该植入程序可能旨在在受感染的企业内进一步发挥作用 ，而不是像 HTTPSnoop 这样面向公众的服务器 ，并且可能旨在针对一些高价值目标 。

近年来，高防服务器针对电信行业（尤其是中东地区）的攻击已成为一种趋势
。2021 年 1 月，ClearSky发现了一系列由黎巴嫩 Cedar 策划，针对美国 、英国和中东亚洲电信运营商的攻击
。同年 12 月，博通旗下的免费模板赛门铁克揭露了可能是伊朗威胁组织MuddyWater（又名 Seedworm）针对中东和亚洲电信运营商发起的间谍活动。