HTTPSnoop 惡意軟體瞄準中東

在中東，電信服務供應商已成為名為「ShroudedSnooper」的新入侵行動的焦點。此操作利用稱為 HTTPSnoop 的隱藏後門。

根據 Cisco Talos 與駭客新聞分享的報告，HTTPSnoop 被描述為簡單且有效率的後門。它採用了與 Windows HTTP 核心驅動程式和裝置互動的創新技術，使其能夠監視特定 HTTP(S) URL 的傳入請求並在受感染端點上執行相關內容。

此外，威脅行為者還擁有另一個名為 PipeSnoop 的植入程式。此植入程式的代號為 PipeSnoop，能夠透過命名管道接受任意 shellcode 並在受感染的端點上執行它。

懷疑 ShroudedSnooper 以面向互聯網的伺服器為目標，並部署 HTTPSnoop 以獲得對目標環境的初始存取權。這兩種惡意軟體都偽裝成 Palo Alto Networks 的 Cortex XDR 應用程式的元件，特別是“CyveraConsole.exe”，試圖逃避偵測。

HTTPSnoop 有不同的風格

迄今為止，已識別出 HTTPSnoop 的三種不同變體。該惡意軟體依靠低階 Windows API 來監視與預定義 URL 模式相符的傳入請求。然後它提取 shellcode，然後在主機上執行。

這些 HTTP URL 模仿與 Microsoft Exchange Web 服務、OfficeTrack 以及與以色列電信公司相關的配置服務相關的 URL。這樣做是為了使惡意請求看起來與合法流量幾乎相同。

Talos 研究人員指出，HTTPSnoop 使用的 HTTP URL 及其與內建 Windows Web 伺服器的綁定表明，它很可能被設計為在暴露於互聯網的 Web 和 EWS 伺服器上運行。相反，PipeSnoop，正如其名稱所暗示的那樣，為輸入/輸出 (I/O) 功能從 Windows IPC 管道讀取和寫入資料。

這表明 PipeSnoop 可能旨在在受感染的企業環境中使用，而不是像 HTTPSnoop 這樣面向公眾的伺服器。它可能旨在針對惡意軟體運營商認為更有價值或高優先級的端點。

惡意軟體的性質表明 PipeSnoop 無法作為獨立植入程式運行，需要一個輔助元件充當伺服器，透過替代方法獲取 shellcode 並將其透過命名管道傳遞到後門。

近年來，瞄準電信業，尤其是中東地區，已成為一種反覆出現的趨勢。各種威脅行為者，包括 Lebanese Cedar、MuddyWater（又名 Seedworm）、BackdoorDiplomacy、WIP26 和 Granite Typhoon（以前稱為 Gallium），都與過去一年對該地區電信服務提供商的攻擊有關。