Een niet-gespecificeerde overheidsinstantie in Afghanistan was het doelwit van een eerder ongedocumenteerde webshell genaamd HrServ in wat vermoedelijk een Advanced Persistent Threat (APT)-aanval is.
De webshell, een dynamic-link bibliotheek (DLL) met de naam ‘hrserv.dll’, vertoont ‘geavanceerde functies zoals aangepaste coderingsmethoden voor clientcommunicatie en uitvoering in het geheugen’, zei Kaspersky-beveiligingsonderzoeker Mert Degirmenci in een analyse die deze week werd gepubliceerd. .
Het Russische cyberbeveiligingsbedrijf zei dat het varianten van de malware heeft geïdentificeerd die teruggaan tot begin 2021 op basis van de compilatietijdstempels van deze artefacten.
Webshells zijn doorgaans kwaadaardige tools die controle op afstand over een gecompromitteerde server mogelijk maken. Eenmaal geüpload, kunnen bedreigingsactoren een reeks post-exploitatieactiviteiten uitvoeren, waaronder gegevensdiefstal, servermonitoring en laterale vooruitgang binnen het netwerk.
De aanvalsketen omvat de PAExec-tool voor extern beheer, een alternatief voor PsExec dat wordt gebruikt als startpunt om een geplande taak te maken die zich voordoet als een Microsoft-update (“MicrosoftsUpdate”), die vervolgens wordt geconfigureerd om een Windows-batchscript (“JKNLA. knuppel”).
Het Batch-script accepteert als argument het absolute pad naar een DLL-bestand (“hrserv.dll”) dat vervolgens wordt uitgevoerd als een service om een HTTP-server te initiëren die inkomende HTTP-aanvragen kan parseren voor vervolgacties.
“Op basis van het type en de informatie binnen een HTTP-verzoek worden specifieke functies geactiveerd”, zei Degirmenci, en voegde eraan toe: “De GET-parameters die worden gebruikt in het hrserv.dll-bestand, dat wordt gebruikt om Google-services na te bootsen, omvatten ‘hl.'”
Dit is waarschijnlijk een poging van de bedreigingsacteur om deze frauduleuze verzoeken in het netwerkverkeer te vermengen en het een stuk lastiger te maken om kwaadwillige activiteiten te onderscheiden van goedaardige gebeurtenissen.
Ingebed in deze HTTP GET- en POST-verzoeken is een parameter genaamd cp, waarvan de waarde – variërend van 0 tot 7 – de volgende handelwijze bepaalt. Dit omvat het genereren van nieuwe threads, het maken van bestanden met willekeurige gegevens die ernaar worden geschreven, het lezen van bestanden en het verkrijgen van toegang tot HTML-gegevens van Outlook Web App.
Als de waarde van cp in het POST-verzoek gelijk is aan “6”, wordt de uitvoering van de code geactiveerd door de gecodeerde gegevens te parseren en naar het geheugen te kopiëren, waarna een nieuwe thread wordt aangemaakt en het proces in een slaapstand terechtkomt.
De webshell is ook in staat om de uitvoering van een sluipend “multifunctioneel implantaat” in het geheugen te activeren dat verantwoordelijk is voor het wissen van het forensische spoor door het verwijderen van de “MicrosoftsUpdate”-taak, evenals de initiële DLL- en batchbestanden.
De bedreigingsactor achter de webshell is momenteel niet bekend, maar de aanwezigheid van verschillende typefouten in de broncode geeft aan dat de auteur van de malware geen moedertaalspreker van het Engels is.
“Met name de webshell en het geheugenimplantaat gebruiken verschillende strings voor specifieke omstandigheden”, concludeerde Degirmenci. “Bovendien is het geheugenimplantaat voorzien van een zorgvuldig vervaardigde hulpboodschap.”
“Gezien deze factoren komen de kenmerken van de malware meer overeen met financieel gemotiveerde kwaadaardige activiteiten. De operationele methodologie vertoont echter overeenkomsten met APT-gedrag.”
