I ricercatori di cybersecurity di Securelist hanno scoperto una nuova web shell, denominata “hrserv.dll”, utilizzata dagli hacker per l’amministrazione e il controllo non autorizzati dei server. Questa web shell consente agli aggressori di accedere senza autorizzazione a server o siti web, facilitando attività come il furto di dati e il lancio di ulteriori attacchi.
La web shell hbserv.dll è nota per le sue funzionalità avanzate, tra cui la codifica personalizzata e l’esecuzione in memoria. Questa scoperta ha portato all’identificazione di varianti simili risalenti al 2021, indicando un potenziale collegamento a attività illecite in corso.
Una delle principali funzionalità della web shell HrServ è la creazione di un task pianificato ‘MicrosoftsUpdate’ tramite PAExec.exe. Questo task attiva un file .BAT che copia hbserv.dll nella directory System32, configura un servizio di registro con il comando ‘sc’ e attiva il servizio appena creato. Una volta operativa, HrServ avvia un server HTTP utilizzando metodi di codifica personalizzati come Base64 e FNV1A64. Risponde a specifici parametri GET ‘cp’ nelle richieste HTTP e utilizza il cookie NID per le operazioni.
I modelli di denominazione della web shell sono progettati per imitare quelli di Google, probabilmente per camuffare le sue attività illecite all’interno del traffico di rete ed evitare il rilevamento. Ad esempio, un valore ‘cp’ di 6 attiva l’esecuzione del codice, mentre un valore ‘cp’ sconosciuto attiva un impianto versatile nella memoria del sistema.
I ricercatori hanno scoperto che, dopo aver eseguito i suoi compiti, HrServ cancella le sue tracce eliminando il lavoro ‘MicrosoftsUpdate’ e i file iniziali. Nonostante le somiglianze nella codifica, sono state osservate sottili differenze nel comportamento tra le varianti.
È interessante notare che le tattiche, le tecniche e le procedure (TTP) utilizzate da questa web shell non possono essere attribuite a nessun attore minaccioso conosciuto. Tuttavia, un’entità governativa in Afghanistan è stata identificata come vittima. Dal 2021, la WebShell esegue operazioni in memoria tramite modifiche al registro e comunica utilizzando stringhe distinte dall’impianto di memoria. Nonostante mostri un comportamento simile a una minaccia persistente avanzata (APT), sembra che i tratti motivati finanziariamente dominino in questo caso.
Source: Cyber Security News
Per mitigare potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net o è possibile provarci da soli utilizzando check.website.