在针对阿富汗政府的 APT 攻击中检测到新的HrServ.dllWeb Shell

admin
admin
admin
102611
文章
87
评论
2023年11月29日21:03:58评论18 views字数 1345阅读4分29秒阅读模式

更多全球网络安全资讯尽在邑安全

在针对阿富汗政府的 APT 攻击中检测到新的HrServ.dllWeb Shell
阿富汗的一个未指定的政府实体成为了先前未记录的名为HrServ的 Web shell 的目标,这被怀疑是高级持续威胁 (APT) 攻击。
卡巴斯基安全研究员 Mert Degirmenci在本周发布的分析中表示,Web shell 是一个名为“hrserv.dll”的动态链接库 (DLL),具有“复杂的功能,例如用于客户端通信和内存执行的自定义编码方法” 
这家俄罗斯网络安全公司表示,根据这些工件的编译时间戳,它发现了可以追溯到 2021 年初的恶意软件变种。
Web shell 通常是恶意工具,可对受感染的服务器提供远程控制。一旦上传,它就允许威胁行为者执行一系列利用后活动,包括数据盗窃、服务器监控和网络内的横向推进。
攻击链涉及PAExec远程管理工具,这是PsExec的替代品,用作启动板来创建伪装成 Microsoft 更新(“MicrosoftsUpdate”)的计划任务,随后将其配置为执行 Windows 批处理脚本(“JKNLA.蝙蝠”)。
批处理脚本接受 DLL 文件(“hrserv.dll”)的绝对路径作为参数,然后将其作为服务执行以启动能够解析传入 HTTP 请求以进行后续操作的 HTTP 服务器。
Degirmenci 表示:“根据 HTTP 请求中的类型和信息,会激活特定功能。hrserv.dll 文件中使用的 GET 参数用于模仿 Google 服务,其中包括‘hl’。”

在针对阿富汗政府的 APT 攻击中检测到新的HrServ.dllWeb Shell

这很可能是威胁行为者试图将这些恶意请求混合到网络流量中,从而使区分恶意活动和良性事件变得更加困难。
这些 HTTP GET 和 POST 请求中嵌入了一个名为 cp 的参数,其值(范围从 0 到 7)决定了下一步的操作。这包括生成新线程、创建写入任意数据的文件、读取文件以及访问Outlook Web App HTML 数据。
如果POST请求中cp的值等于“6”,则会触发代码执行,解析编码数据并将其复制到内存中,然后创建一个新线程,进程进入睡眠状态。
Web shell 还能够激活内存中隐秘的“多功能植入物”的执行,该植入物负责通过删除“MicrosoftsUpdate”作业以及初始 DLL 和批处理文件来擦除取证痕迹。
目前尚不清楚该 Web shell 背后的威胁发起者,但源代码中存在多个拼写错误表明恶意软件作者的母语不是英语。
“值得注意的是,网络 shell 和内存植入针对特定条件使用不同的字符串,”Degirmenci 总结道。“此外,记忆植入物还具有精心制作的帮助信息。”
“考虑到这些因素,该恶意软件的特征更符合出于经济动机的恶意活动。然而,其操作方法与 APT 行为有相似之处。”

原文来自:thehackernews.com

原文链接:https://thehackernews.com/2023/11/new-hrservdll-web-shell-detected-in-apt.html

欢迎收藏并分享朋友圈,让五邑人网络更安全

在针对阿富汗政府的 APT 攻击中检测到新的HrServ.dllWeb Shell

欢迎扫描关注我们,及时了解最新安全动态、学习最潮流的安全姿势!


推荐文章

1

新永恒之蓝?微软SMBv3高危漏洞(CVE-2020-0796)分析复现

2

重大漏洞预警:ubuntu最新版本存在本地提权漏洞(已有EXP) 



原文始发于微信公众号(邑安全):在针对阿富汗政府的 APT 攻击中检测到新的“HrServ.dll”Web Shell

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年11月29日21:03:58
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   在针对阿富汗政府的 APT 攻击中检测到新的HrServ.dllWeb Shellhttps://cn-sec.com/archives/2251479.html

发表评论

匿名网友 填写信息