Une entité gouvernementale non précisée en Afghanistan a été ciblée par un shell Web non documenté appelé ServHr dans ce qui est soupçonné d’être une attaque de menace persistante avancée (APT).
Le shell Web, une bibliothèque de liens dynamiques (DLL) nommée « hrserv.dll », présente « des fonctionnalités sophistiquées telles que des méthodes de codage personnalisées pour la communication client et l’exécution en mémoire », a déclaré Mert Degirmenci, chercheur en sécurité chez Kaspersky. dit dans une analyse publiée cette semaine.
La société russe de cybersécurité a déclaré avoir identifié des variantes du malware remontant au début de 2021 sur la base des horodatages de compilation de ces artefacts.
Les shells Web sont généralement outils malveillants qui fournissent un contrôle à distance sur un serveur compromis. Une fois téléchargé, il permet aux acteurs malveillants d’effectuer une série d’activités post-exploitation, notamment le vol de données, la surveillance des serveurs et l’avancement latéral au sein du réseau.
La chaîne d’attaque implique le PAExec outil d’administration à distance, une alternative à PsExec qui est utilisé comme rampe de lancement pour créer une tâche planifiée qui se fait passer pour une mise à jour Microsoft (« MicrosoftsUpdate »), qui est ensuite configurée pour exécuter un script batch Windows (« JKNLA.bat »).
Le script Batch accepte comme argument le chemin absolu vers un fichier DLL (« hrserv.dll ») qui est ensuite exécuté en tant que service pour lancer un serveur HTTP capable d’analyser les requêtes HTTP entrantes pour des actions de suivi.
« En fonction du type et des informations contenues dans une requête HTTP, des fonctions spécifiques sont activées », a déclaré Degirmenci, ajoutant « les paramètres GET utilisés dans le fichier hrserv.dll, qui est utilisé pour imiter les services Google, incluent ‘hl' ».
Il s’agit probablement d’une tentative de la part de l’acteur malveillant de mélanger ces requêtes malveillantes dans le trafic réseau et de rendre beaucoup plus difficile la distinction entre les activités malveillantes et les événements bénins.
Intégré à ces requêtes HTTP GET et POST se trouve un paramètre appelé cp, dont la valeur – comprise entre 0 et 7 – détermine la prochaine action. Cela inclut la création de nouveaux threads, la création de fichiers contenant des données arbitraires, la lecture de fichiers et l’accès à Application Web Outlook Données HTML.
Si la valeur de cp dans la requête POST est égale à « 6 », elle déclenche l’exécution du code en analysant les données codées et en les copiant dans la mémoire, après quoi un nouveau thread est créé et le processus entre en état de veille.
Le shell Web est également capable d’activer l’exécution d’un « implant multifonctionnel » furtif en mémoire, chargé d’effacer la trace médico-légale en supprimant le travail « MicrosoftsUpdate » ainsi que la DLL initiale et les fichiers batch.
L’auteur de la menace derrière le shell Web n’est actuellement pas connu, mais la présence de plusieurs fautes de frappe dans le code source indique que l’auteur du malware n’est pas anglophone.
« Notamment, la coque Web et l’implant mémoire utilisent des chaînes différentes pour des conditions spécifiques », a conclu Degirmenci. « De plus, l’implant mémoire comporte un message d’aide méticuleusement conçu. »
« Compte tenu de ces facteurs, les caractéristiques du malware sont plus cohérentes avec une activité malveillante motivée par des raisons financières. Cependant, sa méthodologie opérationnelle présente des similitudes avec le comportement d’APT. »