ShroudedSnooper的HTTPSnoop后门瞄准中东电信公司

中东的电信服务提供商是一个名为ShroudedSnooper的新入侵集的目标，该入侵集使用了一个名为HTTPSnoop的隐形后门。

“HTTPSnoop是一个简单但有效的后门，它包含与Windows HTTP内核驱动程序和设备接口的新技术，以侦听特定HTTP（S）URL的传入请求，并在受感染的端点上执行该内容，”思科Talos在一份报告中说。

威胁攻击者的武器库中还有一个代号为PipeSnoop的姊妹植入物，它可以从命名管道中接受任意shellcode并在受感染的端点上执行。

据怀疑，ShroudedSnooper利用面向互联网的服务器并部署HTTPSnoop来获得对目标环境的初始访问权限，这两种恶意软件都模仿了Palo Alto Networks的Cortex XDR应用程序（“CyveraConsole.exe”）的组件。

迄今为止，已经检测到三种不同的HTTPSnoop样品。该恶意软件使用低级Windows API来侦听与预定义URL模式匹配的传入请求，然后提取这些请求以提取要在主机上执行的shellcode。

“HTTPSnoop使用的HTTP URL沿着与内置Windows Web服务器的绑定表明，它可能被设计为在互联网暴露的Web和EWS服务器上工作，”Talos研究人员说。PipeSnoop，正如其名称所暗示的那样，读取和写入Windows IPC管道以获得其输入/输出（I/O）功能。“

"这表明该植入程序可能旨在在受感染的企业内进一步发挥作用,而不是像 HTTPSnoop 这样面向公众的服务器,并且可能旨在用于针对恶意软件运营商认为更有价值或高优先级的端点.“

恶意软件的性质表明，PipeSnoop不能作为独立的植入物运行，它需要一个辅助组件，该组件作为服务器通过其他方法获取shellcode，并使用命名管道将其传递到后门。

近年来，针对电信部门，特别是中东地区的电信部门，已成为一种模式

2021年1月，ClearSky发现了一系列由黎巴嫩Cedar策划的针对美国电信运营商的攻击，英国，和中东亚洲。同年12月晚些时候，Broadcom旗下的赛门铁克（Symantec）揭露了一项针对中东和亚洲电信运营商的间谍活动，该活动可能是由一名名为MuddyWater（又名种子虫）的伊朗威胁行为者发起的。

其他以BackdoorDiplomacy、WIP26和Granite Typhoon（以前的Gallium）为名的敌对团体也被认为是过去一年对该地区电信服务提供商的攻击。