超隐形后门HTTPSnoop 正攻击中东电信公司

安全
中东的电信服务提供商最近沦为ShroudedSnooper网络威胁组织的目标,并被部署了名为 HTTPSnoop 的隐形后门。

据The Hacker News消息,Cisco Talos分享的一份报告显示,中东的电信服务提供商最近沦为ShroudedSnooper网络威胁组织的目标,并被部署了名为 HTTPSnoop 的隐形后门。

HTTPSnoop 是一种简单而有效的后门程序,它采用新颖的技术与 Windows HTTP 内核驱动程序和设备连接,以监听对特定 HTTP(S) URL 的传入请求,并在受感染的端点上执行这些内容。此外,它还有一个代号为 PipeSnoop 的姊妹植入程序,可以接受来自命名管道的任意 shellcode并在受感染的端点上执行。

研究人员怀疑 ShroudedSnooper 利用面向互联网的服务器并部署 HTTPSnoop 来获得对目标环境的初始访问权限,这两种恶意软件菌株都会冒充 Palo Alto Networks 的 Cortex XDR 应用程序(“CyveraConsole.exe”)的组件以进行隐藏。

到目前为止,研究人员已检测到三个不同的 HTTPSnoop 样本。该恶意软件使用低级 Windows API 来侦听与预定义 URL 模式匹配的传入请求,然后提取 shellcode 在主机上执行。

Talos 研究人员表示,HTTPSnoop 使用的 HTTP URL 以及与内置 Windows Web 服务器的绑定表明,它很可能设计用于在互联网公开的 Web 和 EWS 服务器上工作。但顾名思义,PipeSnoop 可以通过 Windows IPC 管道进行读取和写入,以实现其输入/输出 (I/O) 功能。这表明该植入程序可能旨在在受感染的企业内进一步发挥作用,而不是像 HTTPSnoop 这样面向公众的服务器,并且可能旨在针对一些高价值目标。

近年来,针对电信行业(尤其是中东地区)的攻击已成为一种趋势。2021 年 1 月,ClearSky发现了一系列由黎巴嫩 Cedar 策划,针对美国、英国和中东亚洲电信运营商的攻击。同年 12 月,博通旗下的赛门铁克揭露了可能是伊朗威胁组织MuddyWater(又名 Seedworm)针对中东和亚洲电信运营商发起的间谍活动。

责任编辑:赵宁宁 来源: FreeBuf.COM
相关推荐

2016-03-20 17:31:26

2015-11-04 12:21:00

2018-06-21 11:25:45

中东硅谷以色列超级芯片

2021-07-19 17:41:18

勒索软件攻击数据泄露

2022-07-01 14:14:42

MuddyWater攻击伊朗

2013-05-02 13:52:07

2014-06-23 10:22:18

2011-09-07 15:04:20

2022-09-08 18:41:34

恶意软件ShikitegaLinux

2012-02-01 09:36:00

2022-01-05 12:43:47

渗透攻击网络安全网络攻击

2021-10-27 13:10:05

HarvesterAPT恶意软件

2024-04-17 08:00:00

2017-03-30 09:55:12

2013-05-13 11:39:34

2023-03-02 15:48:02

2021-04-09 14:50:02

黑客网络安全网络攻击

2010-05-11 22:40:02

移动通信LTE华为

2023-09-23 08:09:32

2010-02-26 15:17:11

点赞
收藏

51CTO技术栈公众号