Các nhà cung cấp dịch vụ viễn thông ở Trung Đông là mục tiêu của một nhóm xâm nhập mới có tên ShroudedSnooper , sử dụng một cửa sau lén lút có tên HTTPSnoop.
“HTTPSnoop là một cửa hậu đơn giản nhưng hiệu quả, bao gồm các kỹ thuật mới để giao tiếp với các thiết bị và trình điều khiển nhân HTTP của Windows để lắng nghe các yêu cầu đến đối với các URL HTTP(S) cụ thể và thực thi nội dung đó trên điểm cuối bị nhiễm”, Cisco Talos cho biết trong một báo cáo được chia sẻ với The Hacker News.
Ngoài ra, một phần trong kho vũ khí của kẻ đe dọa là một bộ phận cấy ghép chị em có tên mã PipeSnoop, có thể chấp nhận shellcode tùy ý từ một đường ống có tên và thực thi nó trên điểm cuối bị nhiễm.
Người ta nghi ngờ rằng ShroudedSnooper khai thác các máy chủ kết nối internet và triển khai HTTPSnoop để có quyền truy cập ban đầu vào môi trường mục tiêu, với cả hai dòng phần mềm độc hại mạo danh các thành phần của ứng dụng Cortex XDR của Palo Alto Networks (" CyveraConsole.exe ") để hoạt động dưới radar.
Cho đến nay, ba mẫu HTTPSnoop khác nhau đã được phát hiện. Phần mềm độc hại sử dụng API Windows cấp thấp để lắng nghe các yêu cầu đến khớp với các mẫu URL được xác định trước, sau đó được chọn để trích xuất shellcode để thực thi trên máy chủ.
Các nhà nghiên cứu của Talos cho biết: “Các URL HTTP được HTTPSnoop sử dụng cùng với liên kết với máy chủ web Windows tích hợp cho thấy rằng nó có thể được thiết kế để hoạt động trên các máy chủ EWS và web có kết nối Internet”. "Tuy nhiên, PipeSnoop, như tên có thể ngụ ý, đọc và ghi vào và từ ống IPC của Windows cho các khả năng đầu vào/đầu ra (I/O) của nó."
“Điều này cho thấy bộ cấy có thể được thiết kế để hoạt động tốt hơn trong một doanh nghiệp bị xâm nhập – thay vì các máy chủ công khai như HTTPSnoop – và có thể được thiết kế để sử dụng chống lại các điểm cuối mà kẻ điều hành phần mềm độc hại cho là có giá trị hơn hoặc có mức độ ưu tiên cao hơn.”
Bản chất của phần mềm độc hại cho thấy PipeSnoop không thể hoạt động như một bộ cấy độc lập và nó yêu cầu một thành phần phụ trợ hoạt động như một máy chủ để lấy shellcode thông qua các phương pháp khác và sử dụng đường dẫn có tên để truyền nó vào cửa sau.
Việc nhắm mục tiêu vào lĩnh vực viễn thông , đặc biệt là ở Trung Đông, đã trở thành một khuôn mẫu trong những năm gần đây.
Vào tháng 1 năm 2021, ClearSky đã phát hiện ra một loạt cuộc tấn công do Lebanon Cedar dàn dựng nhằm vào các nhà khai thác viễn thông ở Hoa Kỳ, Vương quốc Anh và Trung Đông Á. Cuối tháng 12 năm đó, Symantec thuộc sở hữu của Broadcom đã làm sáng tỏ một chiến dịch gián điệp nhắm vào các nhà khai thác viễn thông ở Trung Đông và Châu Á bởi một kẻ đe dọa có thể là người Iran có tên là MuddyWater (hay còn gọi là Seedworm).
Các tập thể đối địch khác được theo dõi dưới các biệt danh BackdoorDiplomacy , WIP26 và Granite Typhoon (trước đây là Gallium) cũng được cho là đã tấn công vào các nhà cung cấp dịch vụ viễn thông trong khu vực trong năm qua.