新兴威胁：ShroudedSnooper针对中东电信公司的攻击

重点信息

• ShroudedSnooper利用HTTPSnoop恶意软件针对中东的电信公司进行攻击。
• 该恶意软件采用新技术，以获取HTTP(S)请求并从中提取执行代码。
• 此恶意软件可能通过互联网暴露的服务器进行部署，并且设计意图侧重于企业内部更高价值的目标。

根据的报道，新的威胁行为者ShroudedSnooper正针对中东地区的电信公司发起攻击，其使用了隐匿特性的HTTPSnoop 。根据CiscoTalos的报告，ShroudedSnooper可能利用各种互联网暴露的服务器来部署HTTPSnoop，该恶意软件使用新的方法从WindowsHTTP内核驱动程序和设备获取HTTP(S) URL请求。这些HTTP URL请求随后被HTTPSnoop用于提取即将执行的shellcode。

研究人员指出：“HTTPSnoop所使用的HTTPURLs以及与Windows内置Web服务器的绑定，表明它很可能是为在互联网暴露的Web和EWS服务器上工作而设计的。”然而，该操作的另一个植入程序PipeSnoop也模仿了PaloAlto Networks的Cortex XDR应用组件，以避免被检测，该程序仅能覆盖WindowsIPC管道。“这表明，该植入程序可能是为了在受损企业内部进一步操作，而不是像HTTPSnoop那样针对公共服务器，并且可能目标是被恶意软件操作员视为更有价值或高优先级的终端，”研究人员补充道。

这些发现表明，ShroudedSnooper的攻击策略是专注于内部网络，可能针对更具价值的目标，以达到更深层次的渗透。招聘安全专业人士与研究机构密切合作，有助于加强检测和防御措施，以应对此类新兴威胁。