Новая веб-оболочка «HrServ.dll» обнаружена в ходе APT-атаки на правительство Афганистана

Последний анализ, опубликованный исследователем безопасности «Лаборатории Касперского» Мертом Дегирменчи, показывает, что веб-оболочка представляет собой динамическую библиотеку (DLL) под названием «hrserv.dll» со сложными функциями, такими как специальные методы кодирования для взаимодействия с клиентом и выполнения памяти. В ходе расследования, проведенного российской фирмой по кибербезопасности «Касперский», судя по временным меткам их компиляции, были обнаружены артефакты, датируемые началом 2021 года.

Последний анализ, опубликованный исследователем безопасности «Лаборатории Касперского» Мертом Дегирменчи, показывает, что веб-оболочка представляет собой динамическую библиотеку (DLL) под названием «hrserv.dll» со сложными функциями, такими как специальные методы кодирования для взаимодействия с клиентом и выполнения памяти.

По мнению Касперского, этот русскийинформационная безопасностьРасследование компании, основанное на временных метках компиляции артефактов, выявило варианты вредоносного ПО, датируемые началом 2021 года.

Веб-оболочка обычно представляет собой вредоносный инструмент, используемый для удаленного управления взломанным сервером. После загрузки злоумышленник может выполнить ряд действий после эксплуатации, включая кражу данных, мониторинг сервера и горизонтальное продвижение внутри интрасети.

В цепочке атак используется инструмент удаленного управления PAExec, который является заменой PsExec и используется для создания запланированного задания, замаскированного под Центр обновления Microsoft («MicrosoftsUpdate»), а затем настроенного для выполнения пакетного сценария Windows с именем «JKNLA.bat».

Пакетный сценарий принимает абсолютный путь к файлу DLL («hrserv.dll») в качестве параметра, а затем выполняет его как службу, запуская HTTP-сервер, способный анализировать входящие HTTP-запросы для последующих операций.

Дегирменчи сказал, что в зависимости от типа и информации HTTP-запроса будут активированы определенные функции. Он добавил, что параметры GET, используемые в файле «hrserv.dll», используются для имитации сервисов Google, включая «hl».

Новая веб-оболочка «HrServ.dll» обнаружена в ходе APT-атаки на правительство Афганистана

Скорее всего, это попытка злоумышленника смешать эти вредоносные запросы с обычным сетевым трафиком, что затрудняет отличие вредоносной активности от обычных событий.

В эти HTTP-запросы GET и POST встроен параметр с именем «cp», его значение находится в диапазоне от 0 до 7, что определяет следующую операцию. К ним относятся создание новых потоков, создание файлов с произвольными данными, чтение файлов и доступ к данным HTML из Outlook Web App.

Если значение «cp» в POST-запросе равно «6», запускается выполнение кода, закодированные данные анализируются и копируются в память, создается новый поток и он переходит в режим сна.

Кроме того, веб-оболочка смогла активировать в памяти скрытый «многофункциональный имплантат», отвечающий за стирание криминалистических следов путем удаления задачи «MicrosoftsUpdate», а также исходных DLL и пакетных файлов.

Неясно, кто стоит за этой угрозой, но в исходном коде имеется множество орфографических ошибок, которые позволяют предположить, что автор вредоносного ПО не является носителем английского языка.

Дегирменчи заключил: «Стоит отметить, что веб-оболочка и имплант памяти при определенных условиях используют разные строки. Кроме того, имплант памяти также имеет тщательно обработанную справочную информацию».

«Принимая во внимание эти факторы, характеристики вредоносного ПО в большей степени соответствуют финансово мотивированной вредоносной деятельности, однако методы его работы соответствуют АПТ Есть сходство в поведении. "

Оригинальная статья написана Chief Security Officer, при воспроизведении просьба указывать: https://cncso.com/ru/веб-оболочка-ew-hrservdll-обнаружена-в-файле-apt-html.

Нравиться (1)
Предыдущий 23 ноября 2023 пп10:37
Следующий 27 ноября 2023 г. пп11:03

связанное предложение