Nuevo archivo Web Shell HrServ.dll fue detectado en ataque APT contra el gobierno afgano

0

Nuevo archivo shell web HrServ.dll fue detectado en ataque APT contra el gobierno afgano

Diferencias entre seguridad cibernética y seguridad informática

Una entidad gubernamental sin identificar en Afganistán fue objeto de un ataque utilizando una herramienta de acceso remoto previamente desconocida llamada HrServ, en lo que se sospecha que es un ataque de amenaza persistente avanzada (APT).

«El web shell en cuestión, una biblioteca de vínculos dinámicos (DLL) denominada «hrserv.dll», muestra características sofisticadas, como métodos de codificación personalizados para la comunicación con el cliente y ejecución en la memoria», según la análisis publicado esta semana por el investigador de seguridad de Kaspersky, Mert Degirmenci.

La empresa de ciberseguridad rusa afirma haber identificado variantes del malware que se remontan a principios de 2021, basándose en las marcas de tiempo de compilación de estos artefactos.

Por lo general, los web shells son herramientas maliciosas que proporcionan control remoto sobre un servidor comprometido. Una vez cargado, permite a los actores de amenazas llevar a cabo diversas actividades de post-explotación, como el robo de datos, el monitoreo del servidor y la expansión lateral dentro de la red.

El proceso del ataque implica el uso de la herramienta de administración remota PAExec, una alternativa a PsExec que sirve como punto de inicio para crear una tarea programada que se camufla como una actualización de Microsoft («MicrosoftsUpdate»), la cual se configura posteriormente para ejecutar un script por lotes de Windows («JKNLA.bat»).

Este script por lotes acepta la ruta absoluta de un archivo DLL («hrserv.dll») como argumento, el cual luego se ejecuta como un servicio para iniciar un servidor HTTP capaz de analizar las solicitudes HTTP entrantes para llevar a cabo acciones adicionales.

Según Degirmenci, «basándose en el tipo de información dentro de una solicitud HTTP, se activan funciones específicas». Además, señala que «los parámetros GET utilizados en el archivo hrserv.dll, que simula servicios de Google, incluyen ‘hl'».

Este parece ser un intento por parte del actor de amenazas de mezclar estas solicitudes fraudulentas en el tráfico de la red y dificultar la distinción entre actividades maliciosas y eventos benignos.

Dentro de estas solicitudes HTTP GET y POST se encuentra un parámetro llamado «cp», cuyo valor, que varía de 0 a 7, determina la siguiente acción a realizar. Esto puede incluir la creación de nuevos hilos, la generación de archivos con datos arbitrarios, la lectura de archivos y el acceso a datos HTML de Outlook Web App.

Si el valor de «cp» en la solicitud POST es «6», se desencadena la ejecución de código al analizar los datos codificados y copiarlos en la memoria. Posteriormente, se crea un nuevo hilo y el proceso entra en un estado de reposo.

El web shell también tiene la capacidad de activar la ejecución de un «implante multifuncional» sigiloso en memoria, encargado de borrar las huellas forenses al eliminar la tarea «MicrosoftsUpdate», así como los archivos DLL y por lotes iniciales.

Aunque actualmente no se conoce al actor de amenazas detrás del web shell, la presencia de varios errores tipográficos en el código fuente sugiere que el autor del malware no es un hablante nativo de inglés.

«Es notable que el web shell y el implante de memoria utilicen cadenas diferentes para condiciones específicas. Además, el implante de memoria presenta un mensaje de ayuda meticulosamente elaborado», concluyó Degirmenci.

«Dados estos factores, las características del malware son más consistentes con actividades maliciosas motivadas financieramente. Sin embargo, su metodología operativa exhibe similitudes con el comportamiento de las APT».


Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 661610005838513425 Nombre: Masterhacks LATAM Banco: Alternativos

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/HcazyklpyeU4X3BF657KFQ
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *