导 读
阿富汗的一个未指定的政府实体成为了先前未记录的名为HrServ的 Web shell 的目标,这被怀疑是高级持续威胁 (APT) 攻击。
卡巴斯基安全研究员 Mert Degirmenci在本周发布的分析中(https://securelist.com/hrserv-apt-web-shell/111119/)表示,Web shell 是一个名为“hrserv.dll”的动态链接库 (DLL),具有“复杂的功能,例如用于客户端通信和内存执行的自定义编码方法” 。
这家俄罗斯网络安全公司表示,根据这些工件的编译时间戳,它发现了可以追溯到 2021 年初的恶意软件变种。
Web shell 通常是恶意工具,可对受感染的服务器提供远程控制。一旦上传,它就允许攻击者执行一系列利用后活动,包括数据盗窃、服务器监控和网络内的横向推进。
攻击链涉及PAExec远程管理工具,这是PsExec的替代品,用作启动板来创建伪装成 Microsoft 更新(“MicrosoftsUpdate”)的计划任务,随后将其配置为执行 Windows 批处理脚本(“JKNLA.蝙蝠”)。
批处理脚本接受 DLL 文件(“hrserv.dll”)的绝对路径作为参数,然后将其作为服务执行以启动能够解析传入 HTTP 请求以进行后续操作的 HTTP 服务器。
Degirmenci 表示:“根据 HTTP 请求中的类型和信息,会激活特定功能。”他补充道,“hrserv.dll 文件中使用的 GET 参数用于模仿 Google 服务。”
这很可能是攻击者试图将这些恶意请求混合到网络流量中,从而使区分恶意活动和良性事件变得更加困难。
这些 HTTP GET 和 POST 请求中嵌入了一个名为 cp 的参数,其值(范围从 0 到 7)决定了下一步的操作。这包括生成新线程、创建写入任意数据的文件、读取文件以及访问Outlook Web App HTML 数据。
如果POST请求中cp的值等于“6”,则会触发代码执行,解析编码数据并将其复制到内存中,然后创建一个新线程,进程进入睡眠状态。
Web shell 还能够激活内存中隐秘的“多功能植入物”的执行,该植入物负责通过删除“MicrosoftsUpdate”作业以及初始 DLL 和批处理文件来擦除取证痕迹。
目前尚不清楚该 Web shell 背后的威胁发起者归属,但源代码中存在多个拼写错误表明恶意软件作者的母语不是英语。
“值得注意的是,网络 shell 和内存植入针对特定条件使用不同的字符串。”Degirmenci 总结道。“此外,记忆植入物还具有精心制作的帮助信息。”
“考虑到这些因素,该恶意软件的特征更符合出于经济动机的恶意活动。然而,其操作方法与 APT 行为有相似之处。”
参考链接:https://thehackernews.com/2023/11/new-hrservdll-web-shell-detected-in-apt.html
今日安全资讯速递
APT事件
Advanced Persistent Threat
在针对阿富汗政府的 APT 攻击中检测到新的“HrServ.dll”Web Shell
https://thehackernews.com/2023/11/new-hrservdll-web-shell-detected-in-apt.html
微软表示,朝鲜对讯连科技的攻击影响了世界各地的设备
https://therecord.media/north-korea-attack-cyberlink-microsoft
一般威胁事件
General Threat Incidents
RHYSIDA 勒索软件团伙声称某国能源集团遭受黑客攻击
https://securityaffairs.com/154785/cyber-crime/rhysida-ransomware-china-energy.html
网络攻击扰乱英国房地产交易
https://www.infosecurity-magazine.com/news/cyber-attack-disrupts-uk-property/
通用电气调查网络攻击和数据盗窃指控
https://www.bleepingcomputer.com/news/security/general-electric-investigates-claims-of-cyber-attack-data-theft/
Atomic Stealer 恶意软件通过虚假浏览器更新攻击 macOS
https://www.bleepingcomputer.com/news/security/atomic-stealer-malware-strikes-macos-via-fake-browser-updates/
数百家英国律师事务所可能受到 IT 提供商 CTS 网络攻击的影响
https://therecord.media/uk-cyberattack-msp-cts-law-firms
攻击者泄露了 27,000 名纽约市律师协会成员的数据
https://therecord.media/cyberattack-leaked-data-nyc-bar
大英图书馆称勒索软件黑客窃取了人力资源数据
https://therecord.media/british-library-ransomware-hackers-stole-hr-data
加密货币公司 Kronos Research 称网络攻击后 2600 万美元被盗
https://therecord.media/crypto-firm-kronos-research-26-million-stolen-cyberattack
网络犯罪分子使用 Telekopye Telegram 机器人大规模策划网络钓鱼诈骗
https://thehackernews.com/2023/11/cybercriminals-using-telekopye-telegram.html
汽车零部件巨头 AutoZone 的 185,000 人受到 MOVEit 黑客攻击的影响
https://www.securityweek.com/185000-individuals-impacted-by-moveit-hack-at-car-parts-giant-autozone/
新的“InfectedSlurs”僵尸网络利用两个0Day漏洞感染网络监控摄像头(NVR) 和路由器
https://www.bleepingcomputer.com/news/security/new-botnet-malware-exploits-two-zero-days-to-infect-nvrs-and-routers/
堪萨斯州官员将法院系统五周的中断归咎于勒索软件攻击
https://www.bleepingcomputer.com/news/security/kansas-courts-confirm-data-theft-ransom-demand-after-cyberattack/
美国医疗保健 SaaS 服务提供商Welltok 遭到黑客攻击,850 万美国患者数据泄露
https://www.bleepingcomputer.com/news/security/welltok-data-breach-exposes-data-of-85-million-us-patients/
黑客创建虚假银行应用程序来窃取印度用户的财务数据
https://therecord.media/hackers-create-fake-banking-apps-targeting-indian-users
DarkGate 和 Pikabot 恶意软件成为 Qakbot 的继任者
https://www.bleepingcomputer.com/news/security/darkgate-and-pikabot-malware-emerge-as-qakbots-successors/
多个政府机构和网络安全组织已针对多个利用 Citrix Bleed 的攻击发出警报
https://www.infosecurity-magazine.com/news/lockbit-affiliates-exploit-citrix/
美国网络警察打击“杀猪盘”诈骗,返还 900 万美元的受害者加密货币资产
https://www.theregister.com/2023/11/22/us_cybercops_take_on_pig/
漏洞事件
Vulnerability Incidents
3 个严重漏洞使 ownCloud 用户面临数据泄露风险
https://thehackernews.com/2023/11/warning-3-critical-vulnerabilities.html
CISA 命令联邦机构修补 Looney Tunables Linux 漏洞
https://www.bleepingcomputer.com/news/security/cisa-orders-federal-agencies-to-patch-looney-tunables-linux-bug/
流行笔记本电脑上的 Windows Hello 指纹验证被绕过
https://www.securityweek.com/windows-hello-fingerprint-authentication-bypassed-on-popular-laptops/
扫码关注
会杀毒的单反狗
讲述普通人能听懂的安全故事
原文始发于微信公众号(会杀毒的单反狗):在针对阿富汗政府的 APT 攻击中检测到新的“HrServ.dll”Web Shell
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论