HTTPSnoop 惡意軟件針對Cisco Talos進行滲透

針對中東地區電信服務提供商的網絡攻擊是利用名為 HTTPSnoop 和 PipeSnoop 的新型惡意軟件實施的，這些惡意軟件允許網絡犯罪分子遠程控制這些感染了這種惡意軟件的設備。

他們還發現了 HTTPSnoop 的配套植入程序PipeSnoop，它能夠從命名管道中接受 shellcode，并通過將其發送到打開的套接字并在受感染的終端上進行執行。這些發現也證實，這兩個被植入的程序屬于一個名為"ShroudedSnooper"的黑客群組，Cisco Talos 認為它們極有可能屬于新的入侵組織。

根據 Cisco Talos 的報告，這兩個植入程序屬于同一組名為 "ShroudedSnooper "的入侵程序，但在技術上是針對不同的操作目標進行的滲透。后門 HTTPSnoop是一種簡單而有效的后門，它通過使用一種新穎的技術在 Windows 操作系統中進行編譯，與 HTTP 內核驅動程序以及設備進行連接，監聽傳入的 HTTP(S) 請求，并在受感染的機器上執行惡意的命令。

Cisco Talos 在與 The Hacker News 分享的一份報告中指出，HTTPSnoop 是一種簡單而有效的后門程序。值得注意的是，一個代號為 PipeSnoop 的姊妹植入程序也是威脅行為者武器庫的一部分，因為該植入程序能夠從命名管道中接受任意 shellcode 并在受感染的機器上進行執行。

據說，攻擊者為了在目標環境中站穩腳跟，ShroudedSnooper 會首先攻擊公網的服務器，并首先使用HTTPSnoop 進行攻擊。這兩種惡意軟件都冒充了 Palo Alto Networks Cortex XDR 應用程序（"CyveraConsole.exe"）的組件。

安全研究中心早在 2023 年 5 月就首次檢測到 PipeSnoop的植入。該植入程序似乎是 Windows IPC（進程間通信）管道的后門，用于向被入侵的終端發送 shell 代碼。

安全工程師指出，該植入程序需要一個提供shell代碼的組件才能正常運行。盡管如此，該公司的分析師仍然無法確定該惡意軟件的位置，電信行業經常成為國家支持的攻擊行為者的攻擊目標，因為它們經常會在網絡中運行關鍵的基礎設施，并向廣大客戶傳遞敏感的信息，同時也是國家支持的攻擊群體。

由于最近國家支持的針對電信行業的攻擊逐漸升級，當務之急是加強安全措施，并在打擊網絡攻擊方面開展過合作。此外，發布該帖子的研究人員還在帖子中詳細介紹了發現HTTPSnoop 和 PipeSnoop 偽裝成 Palo Alto Networks 的應用程序 Cortex XDR。 

CyveraConsole[dot]exe 是包含 Windows 版 Cortex XDR 代理的可執行文件，該應用程序被認為是惡意軟件可執行文件。研究人員于 2022 年 8 月 7 日發布了 Cortex XDR v7.8，并表示該產品將于 2023 年 4 月 24 日退役。

因此，威脅攻擊者可能會在上述期間操作過這組植入程序，這意味著這些植入程序當時是由他們使用的。并且據觀察，目前已經有三種不同的 HTTPSnoop 變種。

惡意軟件的其中一種工作方式就是檢測符合預定義的URL 模式的傳入請求，然后通過使用底層的Windows API 提取 shellcode 并在用戶計算機上進行執行。這次攻擊中使用的 HTTP URL 模仿了微軟 Exchange Web 服務、OfficeTrack 和與一家以色列電信公司有關的供應服務所使用的 URL，并試圖以幾乎無法檢測到的方式對惡意流量進行編碼。

據稱，在過去的幾年里，一些國家支持的犯罪團伙以及各種惡意的攻擊組織針對世界各地的電信組織進行了攻擊。2022 年，Talos IR 在對電信公司的調查中，始終將這一行業作為首要的攻擊目標。

通常情況下，電信公司是那些想對關鍵基礎設施資產進行破壞的攻擊者的首選目標，它們控制著相當多的關鍵基礎設施資產。

在許多情況下，這些機構是國家衛星、互聯網和電話網絡的骨干，私營和公共部門都非常依賴于這些網絡。作者指出，電信公司也可以作為攻擊者進入其他企業、用戶或第三方供應商（如銀行和信用卡公司）的網關。

此外，思科塔洛斯公司（Cisco Talos）指出，中東的亞洲電信公司也經常成為網絡犯罪分子的攻擊目標。Clearsky 網絡安全公司在 2021 年 1 月披露，"Lebanese Cedar" APT使用RAT惡意軟件家族針對美國、英國和亞洲中東地區的電信公司進行攻擊。 

賽門鐵克還發現，針對南亞電信公司的 MuddyWater APT 也是賽門鐵克提到的一個網絡攻擊團伙，它通過使用webshell將基于腳本的惡意軟件傳輸到 Exchange 服務器內。

在今年早些的時候，Cisco Talos研究人員在 WellinTech 的 KingHistorian ICS 數據管理器中發現了兩個漏洞，這將導致有人會試圖利用其中的漏洞，Talos 對該軟件進行了測試，證實了 WellinTech 背后的知名人士可以利用這些漏洞。

ClearSky 網絡于 2021 年 1 月被發現，Lebanese Cedar組織策劃了一系列針對美國、英國和中東亞洲電信運營商的攻擊。同年 12 月，Broadcom 旗下的賽門鐵克公司也曾披露，MuddyWater（又稱種子蠕蟲）威脅攻擊者正在針對中東和亞洲的電信運營商發起間諜活動。

另據報道，在過去的一年中，其他的敵對組織也參與了針對該地區電信服務提供商的攻擊，如 BackdoorDiplomacy、WIP26 和 Granite Typhoon（前 Gallium）。