HTTPSnoop 恶意软件瞄准中东

在中东，电信服务提供商已成为名为“ShroudedSnooper”的新入侵行动的焦点。此操作利用称为 HTTPSnoop 的隐蔽后门。

根据 Cisco Talos 与黑客新闻分享的一份报告，HTTPSnoop 被描述为一种简单而高效的后门。它采用了与 Windows HTTP 内核驱动程序和设备交互的创新技术，使其能够监视特定 HTTP(S) URL 的传入请求并在受感染端点上执行相关内容。

此外，威胁行为者还拥有另一个名为 PipeSnoop 的植入程序。该植入程序的代号为 PipeSnoop，能够通过命名管道接受任意 shellcode 并在受感染的端点上执行它。

怀疑 ShroudedSnooper 以面向互联网的服务器为目标，并部署 HTTPSnoop 以获得对目标环境的初始访问权限。这两种恶意软件都伪装成 Palo Alto Networks 的 Cortex XDR 应用程序的组件，特别是“CyveraConsole.exe”，试图逃避检测。

HTTPSnoop 有不同的风格

迄今为止，已识别出 HTTPSnoop 的三种不同变体。该恶意软件依靠低级 Windows API 来监视与预定义 URL 模式匹配的传入请求。然后它提取 shellcode，随后在主机上执行。

这些 HTTP URL 模仿与 Microsoft Exchange Web 服务、OfficeTrack 以及与以色列电信公司相关的配置服务相关的 URL。这样做是为了使恶意请求看起来与合法流量几乎相同。

Talos 研究人员指出，HTTPSnoop 使用的 HTTP URL 及其与内置 Windows Web 服务器的绑定表明，它很可能被设计为在暴露于互联网的 Web 和 EWS 服务器上运行。相反，PipeSnoop，正如其名称所暗示的那样，为输入/输出 (I/O) 功能从 Windows IPC 管道读取和写入数据。

这表明 PipeSnoop 可能旨在在受感染的企业环境中使用，而不是像 HTTPSnoop 这样面向公众的服务器。它可能旨在针对恶意软件运营商认为更有价值或高优先级的端点。

恶意软件的性质表明 PipeSnoop 无法作为独立植入程序运行，需要一个辅助组件充当服务器，通过替代方法获取 shellcode 并将其通过命名管道传递到后门。

近年来，瞄准电信行业，尤其是中东地区，已成为一种反复出现的趋势。各种威胁行为者，包括 Lebanese Cedar、MuddyWater（又名 Seedworm）、BackdoorDiplomacy、WIP26 和 Granite Typhoon（以前称为 Gallium），都与过去一年对该地区电信服务提供商的攻击有关。