Els investigadors de ciberseguretat de Securelist han descobert una nova web shell, anomenada “hrserv.dll”, que està sent utilitzada pels hackers per a l’administració i control no autoritzats de servidors. Aquesta web shell permet als atacants obtenir accés no autoritzat a un servidor o lloc web, facilitant activitats com el robatori de dades i el llançament d’atacs addicionals.
La web shell hbserv.dll és notable per les seves funcions avançades, incloent codificació personalitzada i execució en memòria. Aquest descobriment també va portar a la identificació de variants similars que daten de 2021, indicant un possible vincle amb activitats malicioses en curs.
Una de les funcionalitats clau de la web shell HrServ implica la creació d’una tasca programada ‘MicrosoftsUpdate’ a través de PAExec.exe. Aquesta tasca desencadena un arxiu .BAT que copia hbserv.dll al directori System32, configura un servei de registre amb l’ordre ‘sc’ i activa el nou servei creat. Un cop operativa, HrServ inicia un servidor HTTP utilitzant mètodes de codificació personalitzats com Base64 i FNV1A64. Respon a paràmetres ‘cp’ GET específics en sol·licituds HTTP i utilitza la cookie NID per a operacions.
Els patrons de nomenclatura de la web shell estan dissenyats per imitar els de Google, probablement per camuflar les seves activitats malicioses dins del trànsit de xarxa i evadir la detecció. Per exemple, un valor ‘cp’ de 6 desencadena l’execució de codi, mentre que un valor ‘cp’ desconegut activa un implant versàtil en la memòria del sistema.
Els investigadors van trobar que després d’executar les seves tasques, HrServ esborra les seves traces eliminant la tasca ‘MicrosoftsUpdate’ i els arxius inicials. Malgrat les similituds en la codificació, es van observar diferències subtils en el comportament entre les variants.
Curiosament, les tàctiques, tècniques i procediments (TTP) utilitzats per aquesta web shell no es poden atribuir a cap actor de l’amenaça conegut. Tanmateix, es va identificar una entitat governamental a l’Afganistan com a víctima. Des de 2021, la WebShell ha estat executant operacions en memòria a través de modificacions del registre i comunica utilitzant cadenes distintes de l’implant en memòria. Tot i exhibir un comportament tipus de l’amenaça persistent avançada (APT), sembla que en aquest cas predominen els trets motivats financera.
Source: Cyber Security News
Per mitigar amenaces potencials, és important implementar mesures addicionals de ciberseguretat amb l’ajuda d’un soci de confiança com INFRA www.infrascan.net o bé pots provar-ho tu mateix utilitzant check.website.