Una entidad gubernamental no especificada en Afganistán fue atacada por una red shell previamente indocumentada llamada HrServ en lo que se sospecha que es un ataque de amenaza persistente avanzada (APT).
El shell web, una biblioteca de vínculos dinámicos (DLL) llamada «hrserv.dll», exhibe «características sofisticadas como métodos de codificación personalizados para la comunicación con el cliente y la ejecución en memoria», dijo el investigador de seguridad de Kaspersky, Mert Degirmenci. dicho en un análisis publicado esta semana.
La firma rusa de ciberseguridad dijo que identificó variantes del malware que se remontan a principios de 2021 según las marcas de tiempo de compilación de estos artefactos.
Los shells web suelen ser herramientas maliciosas que proporcionan control remoto sobre un servidor comprometido. Una vez cargado, permite a los actores de amenazas llevar a cabo una variedad de actividades posteriores a la explotación, incluido el robo de datos, el monitoreo del servidor y el avance lateral dentro de la red.
La cadena de ataque implica PAExec herramienta de administración remota, una alternativa a PsExec que se utiliza como plataforma de lanzamiento para crear una tarea programada que se hace pasar por una actualización de Microsoft («MicrosoftsUpdate»), que posteriormente se configura para ejecutar un script por lotes de Windows («JKNLA.bat»).
El script Batch acepta como argumento la ruta absoluta a un archivo DLL («hrserv.dll») que luego se ejecuta como un servicio para iniciar un servidor HTTP que es capaz de analizar solicitudes HTTP entrantes para acciones posteriores.
«Según el tipo y la información dentro de una solicitud HTTP, se activan funciones específicas», dijo Degirmenci, añadiendo «los parámetros GET utilizados en el archivo hrserv.dll, que se utiliza para imitar los servicios de Google, incluyen ‘hl'».
Es probable que se trate de un intento del actor de amenazas de combinar estas solicitudes no autorizadas en el tráfico de la red y hacer que sea mucho más difícil distinguir la actividad maliciosa de los eventos benignos.
Dentro de esas solicitudes HTTP GET y POST hay un parámetro llamado cp, cuyo valor, que va de 0 a 7, determina el siguiente curso de acción. Esto incluye generar nuevos hilos, crear archivos con datos arbitrarios escritos en ellos, leer archivos y acceder Aplicación web de Outlook Datos HTML.
Si el valor de cp en la solicitud POST es igual a «6», desencadena la ejecución del código al analizar los datos codificados y copiarlos en la memoria, después de lo cual se crea un nuevo hilo y el proceso entra en estado de suspensión.
El web shell también es capaz de activar la ejecución de un «implante multifuncional» sigiloso en la memoria que es responsable de borrar el rastro forense eliminando el trabajo «MicrosoftsUpdate», así como los archivos DLL y por lotes iniciales.
Actualmente se desconoce el actor de la amenaza detrás del shell web, pero la presencia de varios errores tipográficos en el código fuente indica que el autor del malware no es un hablante nativo de inglés.
«En particular, la estructura web y el implante de memoria utilizan cadenas diferentes para condiciones específicas», concluyó Degirmenci. «Además, el implante de memoria presenta un mensaje de ayuda meticulosamente elaborado».
«Teniendo en cuenta estos factores, las características del malware son más consistentes con una actividad maliciosa con motivación financiera. Sin embargo, su metodología operativa muestra similitudes con el comportamiento de APT».