Uma entidade governamental não especificada no Afeganistão foi alvo de um shell web anteriormente não documentado, chamado HrServ, no que se suspeita ser um ataque de ameaça persistente avançada (APT).
O shell web, uma biblioteca de link dinâmico (DLL) chamada "hrserv.dll", exibe "recursos sofisticados, como métodos de codificação personalizados para comunicação com o cliente e execução em memória," disse o pesquisador de segurança da Kaspersky, Mert Degirmenci, em uma análise publicada nesta semana.
A empresa russa de cibersegurança disse que identificou variantes do malware datando de 2021 com base na compilação dos timestamps desses artefatos.
Shells web são normalmente ferramentas maliciosas que proporcionam controle remoto sobre um servidor comprometido.
Uma vez carregado, ele permite que os atores de ameaças realizem uma série de atividades pós-exploração, incluindo roubo de dados, monitoramento de servidor e avanço lateral dentro da rede.
A cadeia de ataque envolve a ferramenta de administração remota PAExec, alternativa ao PsExec que é utilizada como trampolim para criar uma tarefa agendada que se disfarça de atualização da Microsoft ("MicrosoftsUpdate"), a qual é posteriormente configurada para executar um script de lote do Windows ("JKNLA.bat").
O script de lote aceita como argumento o caminho absoluto para um arquivo DLL ("hrserv.dll") que é então executado como um serviço para iniciar um servidor HTTP capaz de interpretar solicitações HTTP recebidas para ações subsequentes.
"Com base no tipo e na informação dentro de uma solicitação HTTP, funções específicas são ativadas", disse Degirmenci, acrescentando que "os parâmetros GET usados no arquivo hrserv.dll, que é usado para imitar os serviços do Google, incluem 'hl.'"
Provavelmente, isso é uma tentativa do ator da ameaça de misturar essas solicitações falsas no tráfego de rede e tornar mais difícil distinguir a atividade maliciosa de eventos benignos.
Incorporado nas solicitações HTTP GET e POST há um parâmetro chamado cp, cujo valor - variando de 0 a 7 - determina o próximo curso de ação.
Isso inclui gerar novas threads, criar arquivos com dados arbitrários escritos neles, ler arquivos e acessar os dados HTML do Outlook Web App.
Se o valor de cp na solicitação POST for igual a "6", ele aciona a execução de código, analisando os dados codificados e copiando-os na memória, após o que uma nova thread é criada e o processo entra em um estado dormente.
O shell web também é capaz de ativar a execução de um "implante multifuncional" furtivo na memória responsável por apagar o rastro forense, excluindo o serviço "MicrosoftsUpdate" e os arquivos DLL e de lote iniciais.
O ator da ameaça por trás do shell web atualmente não é conhecido, mas a presença de vários erros de digitação no código-fonte indica que o autor do malware não é um falante nativo de inglês.
"Vale ressaltar que o shell web e o implante de memória usam strings diferentes para condições específicas", concluiu Degirmenci.
"Além disso, o implante de memória possui uma mensagem de ajuda meticulosamente criada."
"Considerando esses fatores, as características do malware são mais consistentes com atividade maliciosa financeiramente motivada.
No entanto, sua metodologia operacional exibe semelhanças com o comportamento APT."
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...