top of page

Emersa la nuova web shell 'HrServ.dll' in un attacco APT contro il governo afghano

Immagine del redattore: Sergiu MariasSergiu Marias

Un attacco di minaccia persistente avanzata (APT) è ritenuto essere stato lanciato contro un'organizzazione governativa non identificata in Afghanistan utilizzando la web shell HrServ, che non era stata segnalata in precedenza.

In un'indagine pubblicata questa settimana, il ricercatore di sicurezza di Kaspersky, Mert Degirmenci, ha notato che la web shell, una libreria a collegamento dinamico (DLL) chiamata "hrserv.dll", mostra "funzionalità sofisticate come metodi di codifica personalizzati per la comunicazione con il client ed esecuzione in memoria". Secondo l'azienda russa di sicurezza informatica, i timestamp di compilazione di questi artefatti hanno permesso di identificare varianti di malware risalenti ai primi mesi del 2021.

Di solito malevoli, le web shell consentono il controllo remoto di un sistema compromesso. Gli attori minacciosi possono usarlo per eseguire una varietà di compiti post-exploit, tra cui furto di dati, monitoraggio del server e movimento laterale di rete, una volta caricato.

La catena di attacco inizia con il programma di amministrazione remota PAExec, che è un sostituto di PsExec e viene utilizzato per creare attività pianificate che si fingono essere aggiornamenti Microsoft ("MicrosoftsUpdate") e vengono poi configurate per eseguire uno script batch Windows ("JKNLA.bat").

Il percorso assoluto verso un file DLL ("hrserv.dll"), che viene quindi eseguito come servizio per avviare un server HTTP in grado di interpretare le richieste HTTP in arrivo e intraprendere ulteriori azioni, viene accettato come argomento dallo script batch. "In base al tipo e alle informazioni all'interno di una richiesta HTTP, vengono attivate funzioni specifiche", ha dichiarato Degirmenci. Ha anche affermato che "i parametri GET utilizzati nel file hrserv.dll, che è utilizzato per mimare i servizi Google, includono 'hl'". Shell Web Trovata Durante un Attacco APT Il threat actor sta probabilmente cercando di mescolare queste richieste fraudolente nel normale traffico di rete nel tentativo di rendere più difficile discernere tra attività legittime e malintenzionate. Le richieste HTTP GET e POST contengono un parametro chiamato cp, il cui valore, che varia da 0 a 7, determina cosa succede successivamente. Questo include la lettura di file, la scrittura di dati arbitrari nei file, l'avvio di nuovi thread e l'accesso ai dati HTML di Outlook Web App.

Se il valore di cp nella richiesta POST è "6", viene avviato un nuovo thread e il processo entra in uno stato di sleep, che avvia l'esecuzione del codice analizzando i dati codificati e copiandoli in memoria.

Sicurezza Online La web shell può anche attivare l'esecuzione di un "impianto multifunzionale" nascosto in memoria, che rimuove i file DLL e batch originali, insieme al lavoro "MicrosoftsUpdate", cancellando così le tracce forensi. Anche se l'attore minaccioso responsabile della web shell è ancora sconosciuto, il codice sorgente contiene diversi errori di battitura che suggeriscono che il creatore del malware non è un parlante nativo di inglese.

"In particolare, la web shell e l'impianto di memoria utilizzano stringhe diverse per condizioni specifiche", ha detto Degirmenci. "Inoltre, l'impianto di memoria presenta un messaggio di aiuto realizzato con cura."

"In base a questi elementi, le caratteristiche del malware sono più in linea con un comportamento malevolo guidato dal guadagno finanziario. Tuttavia, ci sono parallelismi tra il suo approccio operativo e il comportamento APT."


0 visualizzazioni0 commenti

Commenti


bottom of page