Új eszköz: HrServ web shell
Egy meg nem nevezett afganisztáni kormányzati szervet célzott meg egy korábban nem dokumentált web shell, a HrServ, ami a gyanú szerint egy fejlett tartós fenyegetés (APT) támadás.
A web shell, egy hrserv.dll olyan kifinomult funkciókkal rendelkezik, mint az ügyfélkommunikáció egyéni kódolási módszerei és a memórián belüli végrehajtás.
A web shell-ek jellemzően olyan rosszindulatú eszközök, amelyek távoli irányítást biztosítanak egy veszélyeztetett kiszolgáló felett. A feltöltést követően lehetővé teszi a fenyegető szereplők számára, hogy a kihasználás utáni tevékenységek széles körét hajtsák végre, beleértve az adatlopást, a szerver megfigyelését és a hálózaton belüli oldalirányú előrehaladást.
Az elemzett minta egy képes web shell-t képvisel. A fordítási időbélyegek alapján a származása legalább 2021-re nyúlik vissza. Ez a kifinomult kártevő-változat képes memórián belüli végrehajtásokat kezdeményezni. A megfigyelt forgatókönyvben a kommunikáció a rendszerleíró adatbázis manipulációin és ideiglenes fájlokon keresztül jön létre.
Figyelemre méltó, hogy a web shell és a memóriaimplantátum különböző karakterláncokat használ bizonyos feltételek esetén. Ezenkívül a memóriaimplantátum egy aprólékosan kidolgozott segédüzenetet tartalmaz. Ezeket a tényezőket figyelembe véve a rosszindulatú szoftver jellemzői inkább pénzügyi motivációjú rosszindulatú tevékenységnek felelnek meg. Működési módszertana azonban hasonlóságot mutat az APT viselkedésével. Annak ellenére, hogy a rosszindulatú szoftver több éven át tartó, hosszan tartó tevékenysége ellenére nem dokumentáltak több, ezeket a mintákat érintő esetet. Erőfeszítéseink folyamatosak, mivel továbbra is figyelemmel kísérjük a kapcsolódó tevékenységet, azzal a céllal, hogy a jövőbeni vizsgálatok során megfejtsük a rejtélyt.