Un ente governativo non specificato in Afghanistan è stato preso di mira da una web shell precedentemente non documentata chiamata HrServ in quello che si sospetta essere un attacco a minaccia persistente avanzata (APT).
La web shell, una libreria di collegamento dinamico (DLL) denominata “hrserv.dll”, presenta “funzionalità sofisticate come metodi di codifica personalizzati per la comunicazione del client e l’esecuzione in memoria”, ha affermato il ricercatore di sicurezza Kaspersky Mert Degirmenci in un’analisi pubblicata questa settimana.
L’azienda russa di cybersecurity ha affermato di aver identificato varianti del malware risalenti all’inizio del 2021 in base ai timestamp di compilazione di questi artefatti.
Le web shell sono tipicamente strumenti dannosi che forniscono il controllo remoto di un server compromesso. Una volta caricato, consente agli attori delle minacce di eseguire una serie di attività di post-sfruttamento, tra cui il furto di dati, il monitoraggio del server e l’avanzamento laterale all’interno della rete.
La catena di attacco coinvolge lo strumento di amministrazione remota PAExec, un’alternativa a PsExec che viene utilizzato come trampolino di lancio per creare un’attività pianificata che si maschera da aggiornamento Microsoft (“MicrosoftsUpdate”), che successivamente viene configurata per eseguire uno script batch di Windows (“JKNLA.bat”).
Lo script batch accetta come argomento il percorso assoluto di un file DLL (“hrserv.dll”) che viene quindi eseguito come servizio per avviare un server HTTP in grado di analizzare le richieste HTTP in arrivo per azioni di follow-up.
“In base al tipo e alle informazioni contenute in una richiesta HTTP, vengono attivate funzioni specifiche”, ha affermato Degirmenci, aggiungendo che “i parametri GET utilizzati nel file hrserv.dll, utilizzato per imitare i servizi Google, includono ‘hl’.”
È probabile che questo sia un tentativo da parte dell’attore della minaccia di mescolare queste richieste rogue nel traffico di rete e rendere molto più difficile distinguere l’attività dannosa dagli eventi benigni.
Incorporate in quelle richieste HTTP GET e POST è presente un parametro chiamato cp, il cui valore, che va da 0 a 7, determina il prossimo corso d’azione. Ciò include la generazione di nuovi thread, la creazione di file con dati arbitrari scritti al loro interno, la lettura di file e l’accesso ai dati HTML di Outlook Web App.
Se il valore di cp nella richiesta POST è uguale a “6”, attiva l’esecuzione del codice analizzando i dati codificati e copiandoli nella memoria, dopodiché viene creato un nuovo thread e il processo entra in uno stato di sospensione.
La web shell è inoltre in grado di attivare l’esecuzione di un “impianto multifunzionale” stealthy in memoria che si occupa di cancellare la traccia forense eliminando il lavoro “MicrosoftsUpdate” nonché i file DLL e batch iniziali.
L’attore della minaccia dietro la web shell non è attualmente noto, ma la presenza di diversi errori di battitura nel codice sorgente indica che l’autore del malware non è un madrelingua inglese.
“Vale la pena notare che la web shell e l’impianto di memoria utilizzano stringhe diverse per condizioni specifiche”, ha concluso Degirmenci. “Inoltre, l’impianto di memoria presenta un messaggio di aiuto meticolosamente realizzato.”
“Considerando questi fattori, le caratteristiche del malware sono più coerenti con attività dannose finanziariamente motivate. Tuttavia, la sua metodologia operativa presenta somiglianze con il comportamento APT”.
