超隐形后门HTTPSnoop 正攻击中东电信公司
💡
原文中文,约1100字,阅读约需3分钟。
📝
内容提要
网络威胁组织ShroudedSnooper针对中东电信服务提供商部署了名为HTTPSnoop的隐形后门,使用新颖技术监听特定HTTP(S) URL的传入请求,并在受感染的端点上执行这些内容。该组织还部署了一个姊妹植入程序PipeSnoop,可以接受来自命名管道的任意shellcode并在受感染的端点上执行。
🎯
关键要点
- 网络威胁组织ShroudedSnooper针对中东电信服务提供商部署了HTTPSnoop隐形后门。
- HTTPSnoop使用新技术监听特定HTTP(S) URL的传入请求,并在受感染的端点上执行这些请求。
- ShroudedSnooper还部署了名为PipeSnoop的姊妹植入程序,可以执行来自命名管道的任意shellcode。
- 研究人员怀疑ShroudedSnooper利用面向互联网的服务器获得初始访问权限,恶意软件伪装成Palo Alto Networks的组件。
- 目前已检测到三个不同的HTTPSnoop样本,使用低级Windows API监听与预定义URL匹配的请求。
- PipeSnoop通过Windows IPC管道进行输入/输出,可能针对高价值目标而非公众服务器。
- 近年来,针对中东电信行业的攻击趋势明显,包括2021年ClearSky发现的攻击和赛门铁克揭露的间谍活动。
➡️
