Los investigadores de ciberseguridad de Securelist han descubierto una nueva web shell, llamada “hrserv.dll”, que está siendo utilizada por hackers para la administración y control no autorizados de servidores. Esta web shell permite a los atacantes obtener acceso no autorizado a un servidor o sitio web, facilitando actividades como el robo de datos y el lanzamiento de más ataques.
La web shell hbserv.dll es notable por sus características avanzadas, incluyendo codificación personalizada y ejecución en memoria. Este descubrimiento también llevó a la identificación de variantes similares que datan de 2021, indicando un posible vínculo con actividades maliciosas en curso.
Una de las funcionalidades clave de la web shell HrServ implica la creación de una tarea programada ‘MicrosoftsUpdate’ a través de PAExec.exe. Esta tarea desencadena un archivo .BAT que copia hbserv.dll al directorio System32, configura un servicio de registro usando el comando ‘sc’ y activa el servicio recién creado. Una vez operativo, HrServ inicia un servidor HTTP utilizando métodos de codificación personalizados como Base64 y FNV1A64. Responde a parámetros GET ‘cp’ específicos en solicitudes HTTP y aprovecha la cookie NID para operaciones.
Los patrones de nombres de la web shell están diseñados para imitar los de Google, probablemente para camuflar sus actividades maliciosas dentro del tráfico de red y evadir la detección. Por ejemplo, un valor ‘cp’ de 6 desencadena la ejecución de código, mientras que un valor ‘cp’ desconocido activa un implante versátil en la memoria del sistema.
Los investigadores encontraron que después de ejecutar sus tareas, HrServ borra sus rastros eliminando el trabajo ‘MicrosoftsUpdate’ y los archivos iniciales. A pesar de las similitudes en la codificación, se observaron diferencias sutiles en el comportamiento entre las variantes.
Curiosamente, las tácticas, técnicas y procedimientos (TTP) utilizados por esta web shell no pudieron atribuirse a ningún actor de amenaza conocido. Sin embargo, una entidad gubernamental en Afganistán ha sido identificada como víctima. Desde 2021, la WebShell ha estado ejecutando operaciones en memoria a través de ajustes del registro y comunica utilizando cadenas distintas del implante de memoria. A pesar de exhibir un comportamiento similar a una amenaza persistente avanzada (APT), los rasgos motivados financieramente parecen dominar en este caso.
Source: Cyber Security News
Para mitigar posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net o puede intentarlo usted mismo utilizando check.website.