Una entidad gubernamental no especificada en Afganist\u00e1n fue atacada por una red shell previamente indocumentada llamada HrServ<\/strong> en lo que se sospecha que es un ataque de amenaza persistente avanzada (APT).<\/p>\n El shell web, una biblioteca de v\u00ednculos din\u00e1micos (DLL) llamada “hrserv.dll”, exhibe “caracter\u00edsticas sofisticadas como m\u00e9todos de codificaci\u00f3n personalizados para la comunicaci\u00f3n con el cliente y la ejecuci\u00f3n en memoria”, dijo el investigador de seguridad de Kaspersky, Mert Degirmenci. dicho<\/a> en un an\u00e1lisis publicado esta semana.<\/p>\n La firma rusa de ciberseguridad dijo que identific\u00f3 variantes del malware que se remontan a principios de 2021 seg\u00fan las marcas de tiempo de compilaci\u00f3n de estos artefactos.<\/p>\n Los shells web suelen ser herramientas maliciosas<\/a> que proporcionan control remoto sobre un servidor comprometido. Una vez cargado, permite a los actores de amenazas llevar a cabo una variedad de actividades posteriores a la explotaci\u00f3n, incluido el robo de datos, el monitoreo del servidor y el avance lateral dentro de la red.<\/p>\n La cadena de ataque implica PAExec<\/a> herramienta de administraci\u00f3n remota, una alternativa a PsExec<\/a> que se utiliza como plataforma de lanzamiento para crear una tarea programada que se hace pasar por una actualizaci\u00f3n de Microsoft (“MicrosoftsUpdate”), que posteriormente se configura para ejecutar un script por lotes de Windows (“JKNLA.bat”).<\/p>\n El script Batch acepta como argumento la ruta absoluta a un archivo DLL (“hrserv.dll”) que luego se ejecuta como un servicio para iniciar un servidor HTTP que es capaz de analizar solicitudes HTTP entrantes para acciones posteriores.<\/p>\n “Seg\u00fan el tipo y la informaci\u00f3n dentro de una solicitud HTTP, se activan funciones espec\u00edficas”, dijo Degirmenci, a\u00f1adiendo “los par\u00e1metros GET utilizados en el archivo hrserv.dll, que se utiliza para imitar los servicios de Google, incluyen ‘hl'”.<\/p>\n Es probable que se trate de un intento del actor de amenazas de combinar estas solicitudes no autorizadas en el tr\u00e1fico de la red y hacer que sea mucho m\u00e1s dif\u00edcil distinguir la actividad maliciosa de los eventos benignos.<\/p>\n Dentro de esas solicitudes HTTP GET y POST hay un par\u00e1metro llamado cp, cuyo valor, que va de 0 a 7, determina el siguiente curso de acci\u00f3n. Esto incluye generar nuevos hilos, crear archivos con datos arbitrarios escritos en ellos, leer archivos y acceder Aplicaci\u00f3n web de Outlook<\/a> Datos HTML.<\/p>\n Si el valor de cp en la solicitud POST es igual a “6”, desencadena la ejecuci\u00f3n del c\u00f3digo al analizar los datos codificados y copiarlos en la memoria, despu\u00e9s de lo cual se crea un nuevo hilo y el proceso entra en estado de suspensi\u00f3n.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/11\/Nuevo-shell-web-HrServdll-detectado-en-un-ataque-APT-dirigido.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n