Afgan Hükümetini Hedef Alan APT Saldırısında Yeni 'HrServ.dll' Web Kabuğu Tespit Edildi - Dünyadan Güncel Teknoloji Haberleri

Afgan Hükümetini Hedef Alan APT Saldırısında Yeni 'HrServ.dll' Web Kabuğu Tespit Edildi - Dünyadan Güncel Teknoloji Haberleri
dll”) mutlak yolunu bir bağımsız değişken olarak kabul eder ve bu dosya daha sonra, takip eden eylemler için gelen HTTP isteklerini ayrıştırabilen bir HTTP sunucusunu başlatmak üzere bir hizmet olarak yürütülür HRServ gelişmiş kalıcı tehdit (APT) saldırısı olduğundan şüpheleniliyor dll” adlı bir dinamik bağlantı kitaplığı (DLL) olan web kabuğunun “istemci iletişimi ve bellek içi yürütme için özel kodlama yöntemleri gibi karmaşık özellikler” sergilediğini söylüyor söz konusu Bu hafta yayınlanan bir analizde

Değirmenci, “Özellikle ağ kabuğu ve bellek implantı belirli koşullar için farklı dizeler kullanıyor” dedi “Ayrıca, hafıza implantı titizlikle hazırlanmış bir yardım mesajı içeriyor

Web kabuğu aynı zamanda, “MicrosoftsUpdate” işinin yanı sıra ilk DLL ve toplu iş dosyalarını da silerek adli tıp izini silmekten sorumlu olan, bellekte gizli bir “çok işlevli implant”ın yürütülmesini etkinleştirebilir Bu, yeni iş parçacıkları oluşturmayı, kendilerine yazılan rastgele verilerle dosyalar oluşturmayı, dosyaları okumayı ve dosyalara erişmeyi içerir Yüklendikten sonra, tehdit aktörlerinin veri hırsızlığı, sunucu izleme ve ağ içinde yanal ilerleme dahil olmak üzere çeşitli istismar sonrası faaliyetleri gerçekleştirmesine olanak tanır

Toplu komut dosyası, bir DLL dosyasının (“hrserv

Rus siber güvenlik firması, bu eserlerin derleme zaman damgalarına dayanarak kötü amaçlı yazılımın 2021 başlarına kadar uzanan varyantlarını tespit ettiğini söyledi Ancak operasyonel metodolojisi APT davranışıyla benzerlikler göstermektedir

POST isteğindeki cp değeri “6”ya eşitse, kodlanmış verileri ayrıştırıp belleğe kopyalayarak kod yürütmeyi tetikler, ardından yeni bir iş parçacığı oluşturulur ve süreç uyku durumuna girer

Web kabukları genellikle kötü amaçlı araçlar güvenliği ihlal edilmiş bir sunucu üzerinde uzaktan kontrol sağlayan Outlook Web Uygulaması HTML verileri

Saldırı zinciri şunları içerir: PAExec uzaktan yönetim aracı, bir alternatif PsExec Bu, bir Microsoft güncellemesi (“MicrosoftsUpdate”) gibi görünen zamanlanmış bir görev oluşturmak için başlatma paneli olarak kullanılır ve daha sonra bir Windows toplu komut dosyasını (“JKNLA

Bu HTTP GET ve POST isteklerinin içine cp adı verilen ve değeri 0 ile 7 arasında değişen bir sonraki eylem planını belirleyen bir parametre katıştırılmıştır

Kaspersky güvenlik araştırmacısı Mert Değirmenci, “hrserv ”



siber-2


25 Kasım 2023Haber odasıSiber Saldırı / Tehdit İstihbaratı

Afganistan’daki belirtilmemiş bir hükümet kuruluşu, daha önce belgelenmemiş bir web kabuğu tarafından hedef alındı

“HTTP isteğinin türüne ve bilgilerine göre belirli işlevler etkinleştiriliyor bat”) yürütmek üzere yapılandırılır

Web kabuğunun arkasındaki tehdit aktörü şu anda bilinmiyor ancak kaynak kodunda birkaç yazım hatası bulunması, kötü amaçlı yazılım yazarının anadili İngilizce olmadığını gösteriyor ”

Bu muhtemelen tehdit aktörünün bu hileli istekleri ağ trafiğinde birleştirme ve kötü amaçlı etkinlikleri iyi huylu olaylardan ayırmayı çok daha zorlaştırma girişimidir ” diyen Değirmenci, “Google hizmetlerini taklit etmek için kullanılan hrserv ”

“Bu faktörler göz önüne alındığında, kötü amaçlı yazılımın özellikleri finansal amaçlı kötü amaçlı faaliyetlerle daha tutarlıdır dll dosyasında kullanılan GET parametreleri arasında ‘hl’ de yer alıyor