據The Hacker News消息，Cisco Talos分享的一份報告顯示，中東的電信服務提供商最近淪為ShroudedSnooper網絡威脅組織的目標，并被部署了名為 HTTPSnoop 的隱形后門。

HTTPSnoop 是一種簡單而有效的后門程序，它采用新穎的技術與 Windows HTTP 內核驅動程序和設備連接，以監聽對特定 HTTP(S) URL 的傳入請求，并在受感染的端點上執行這些內容。此外，它還有一個代號為 PipeSnoop 的姊妹植入程序，可以接受來自命名管道的任意 shellcode并在受感染的端點上執行。

研究人員懷疑 ShroudedSnooper 利用面向互聯網的服務器并部署 HTTPSnoop 來獲得對目標環境的初始訪問權限，這兩種惡意軟件菌株都會冒充 Palo Alto Networks 的 Cortex XDR 應用程序（“CyveraConsole.exe”）的組件以進行隱藏。

到目前為止，研究人員已檢測到三個不同的 HTTPSnoop 樣本。該惡意軟件使用低級 Windows API 來偵聽與預定義 URL 模式匹配的傳入請求，然后提取 shellcode 在主機上執行。

Talos 研究人員表示，HTTPSnoop 使用的 HTTP URL 以及與內置 Windows Web 服務器的綁定表明，它很可能設計用于在互聯網公開的 Web 和 EWS 服務器上工作。但顧名思義，PipeSnoop 可以通過 Windows IPC 管道進行讀取和寫入，以實現其輸入/輸出 (I/O) 功能。這表明該植入程序可能旨在在受感染的企業內進一步發揮作用，而不是像 HTTPSnoop 這樣面向公眾的服務器，并且可能旨在針對一些高價值目標。

近年來，針對電信行業（尤其是中東地區）的攻擊已成為一種趨勢。2021 年 1 月，ClearSky發現了一系列由黎巴嫩 Cedar 策劃，針對美國、英國和中東亞洲電信運營商的攻擊。同年 12 月，博通旗下的賽門鐵克揭露了可能是伊朗威脅組織MuddyWater（又名 Seedworm）針對中東和亞洲電信運營商發起的間諜活動。