Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Nuevo shell web ‘HrServ.dll’ detectado en un ataque APT dirigido al gobierno afgano
  • Tecnología

Nuevo shell web ‘HrServ.dll’ detectado en un ataque APT dirigido al gobierno afgano

teknomers 25 de Kasım de 2023 (Last updated: 25 de Kasım de 2023) 4 minutes read
Nuevo shell web 'HrServ.dll' detectado en un ataque APT dirigido


25 de noviembre de 2023Sala de redacciónAtaque cibernético/Inteligencia sobre amenazas

Una entidad gubernamental no especificada en Afganistán fue atacada por una red shell previamente indocumentada llamada HrServ en lo que se sospecha que es un ataque de amenaza persistente avanzada (APT).

El shell web, una biblioteca de vínculos dinámicos (DLL) llamada “hrserv.dll”, exhibe “características sofisticadas como métodos de codificación personalizados para la comunicación con el cliente y la ejecución en memoria”, dijo el investigador de seguridad de Kaspersky, Mert Degirmenci. dicho en un análisis publicado esta semana.

La firma rusa de ciberseguridad dijo que identificó variantes del malware que se remontan a principios de 2021 según las marcas de tiempo de compilación de estos artefactos.

Los shells web suelen ser herramientas maliciosas que proporcionan control remoto sobre un servidor comprometido. Una vez cargado, permite a los actores de amenazas llevar a cabo una variedad de actividades posteriores a la explotación, incluido el robo de datos, el monitoreo del servidor y el avance lateral dentro de la red.

La seguridad cibernética

La cadena de ataque implica PAExec herramienta de administración remota, una alternativa a PsExec que se utiliza como plataforma de lanzamiento para crear una tarea programada que se hace pasar por una actualización de Microsoft (“MicrosoftsUpdate”), que posteriormente se configura para ejecutar un script por lotes de Windows (“JKNLA.bat”).

El script Batch acepta como argumento la ruta absoluta a un archivo DLL (“hrserv.dll”) que luego se ejecuta como un servicio para iniciar un servidor HTTP que es capaz de analizar solicitudes HTTP entrantes para acciones posteriores.

“Según el tipo y la información dentro de una solicitud HTTP, se activan funciones específicas”, dijo Degirmenci, añadiendo “los parámetros GET utilizados en el archivo hrserv.dll, que se utiliza para imitar los servicios de Google, incluyen ‘hl'”.

Web Shell detectado en ataque APT

Es probable que se trate de un intento del actor de amenazas de combinar estas solicitudes no autorizadas en el tráfico de la red y hacer que sea mucho más difícil distinguir la actividad maliciosa de los eventos benignos.

Dentro de esas solicitudes HTTP GET y POST hay un parámetro llamado cp, cuyo valor, que va de 0 a 7, determina el siguiente curso de acción. Esto incluye generar nuevos hilos, crear archivos con datos arbitrarios escritos en ellos, leer archivos y acceder Aplicación web de Outlook Datos HTML.

Si el valor de cp en la solicitud POST es igual a “6”, desencadena la ejecución del código al analizar los datos codificados y copiarlos en la memoria, después de lo cual se crea un nuevo hilo y el proceso entra en estado de suspensión.

La seguridad cibernética

El web shell también es capaz de activar la ejecución de un “implante multifuncional” sigiloso en la memoria que es responsable de borrar el rastro forense eliminando el trabajo “MicrosoftsUpdate”, así como los archivos DLL y por lotes iniciales.

Actualmente se desconoce el actor de la amenaza detrás del shell web, pero la presencia de varios errores tipográficos en el código fuente indica que el autor del malware no es un hablante nativo de inglés.

“En particular, la estructura web y el implante de memoria utilizan cadenas diferentes para condiciones específicas”, concluyó Degirmenci. “Además, el implante de memoria presenta un mensaje de ayuda meticulosamente elaborado”.

“Teniendo en cuenta estos factores, las características del malware son más consistentes con una actividad maliciosa con motivación financiera. Sin embargo, su metodología operativa muestra similitudes con el comportamiento de APT”.

¿Encontró interesante este artículo? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: ¿Ahora que? Una guía a través de la nueva realidad política
Next: El dilema de la reducción de personal

Related Stories

¿Pronto habrá etiquetas de IA en Spotify, Apple Music y
  • Tecnología

¿Pronto habrá etiquetas de IA en Spotify, Apple Music y las plataformas de streaming?

teknomers 11 de Temmuz de 2026
Copa del Mundo: Google Search rompe un récord histórico de
  • Tecnología

Copa del Mundo: Google Search rompe un récord histórico de consultas

teknomers 11 de Temmuz de 2026
La policía afirma haber encontrado cómo rastrear pagos en Monero
  • Tecnología

La policía afirma haber encontrado cómo rastrear pagos en Monero en el dark web

teknomers 11 de Temmuz de 2026

You May Have Missed

  • Deporte

Australia 26-42 Francia: Six-try Les Bleus condenan a los Wallabies a su sexta derrota consecutiva

teknomers 11 de Temmuz de 2026
  • General

China prohíbe temporalmente las exportaciones de helio mientras las tensiones entre EE. UU. e Irán aumentan nuevamente

teknomers 11 de Temmuz de 2026
  • General

Tifón Bavi: cerca de un millón de personas evacuadas en China antes del impacto en Wenzhou

teknomers 11 de Temmuz de 2026
  • Finanzas

« Como un niño en Disney »: después de 4 meses sin supermercado, los clientes encantados del nuevo Hyper U de Sarcelles

teknomers 11 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.