Исследователи кибербезопасности из Securelist обнаружили новую веб-оболочку под названием “hrserv.dll”, которая используется хакерами для несанкционированного администрирования и управления серверами. Эта веб-оболочка позволяет атакующим получать несанкционированный доступ к серверу или веб-сайту, облегчая действия, такие как кража данных и запуск дальнейших атак.
Веб-оболочка hbserv.dll примечательна своими продвинутыми функциями, включая настраиваемое кодирование и выполнение в памяти. Это открытие также привело к выявлению похожих вариантов, датируемых 2021 годом, что указывает на потенциальную связь с продолжающейся злонамеренной деятельностью.
Одной из ключевых функций веб-оболочки HrServ является создание запланированной задачи ‘MicrosoftsUpdate’ через PAExec.exe. Эта задача запускает .BAT файл, который копирует hbserv.dll в директорию System32, настраивает службу реестра с помощью команды ‘sc’ и активирует вновь созданную службу. После запуска HrServ запускает HTTP-сервер с использованием методов настраиваемого кодирования, таких как Base64 и FNV1A64. Он реагирует на определённые ‘cp’ GET-параметры в HTTP-запросах и использует куки NID для операций.
Паттерны именования веб-оболочки разработаны для имитации Google, вероятно, чтобы маскировать ее злонамеренную деятельность в сетевом трафике и избежать обнаружения. Например, значение ‘cp’ равное 6 запускает выполнение кода, в то время как неизвестное значение ‘cp’ активирует универсальный имплант в системной памяти.
Исследователи обнаружили, что после выполнения своих задач HrServ стирает свои следы, удаляя задание ‘MicrosoftsUpdate’ и первоначальные файлы. Несмотря на сходство в кодировании, были замечены тонкие различия в поведении среди вариантов.
Интересно, что тактика, техники и процедуры (TTP), использованные этой веб-оболочкой, не могут быть приписаны ни одному из известных угрозных акторов. Однако в качестве жертвы было идентифицировано государственное учреждение в Афганистане. С 2021 года WebShell выполняет операции в памяти через изменения в реестре и общается, используя отличительные строки из импланта в памяти. Несмотря на демонстрацию поведения, характерного для продвинутых постоянных угроз (APT), в данном случае преобладают финансово мотивированные черты.
Source: Cyber Security News
Чтобы смягчить потенциальные угрозы, важно реализовать дополнительные меры по обеспечению кибербезопасности с помощью надежного партнера, такого как INFRA www.infrascan.net, или вы можете попробовать сами, используя check.website.