Attaque APT ciblant le gouvernement afghan : une nouvelle menace avec le shell web ‘HrServ.dll’

Le shell web, une bibliothèque de liens dynamiques (DLL) nommée « hrserv.dll », présente des « caractéristiques sophistiquées telles que des méthodes d’encodage personnalisées pour la communication avec le client et l’exécution en mémoire », a déclaré Mert Degirmenci, chercheur en sécurité chez Kaspersky, dans une analyse publiée cette semaine.

L’entreprise russe de cybersécurité a déclaré avoir identifié des variantes du logiciel malveillant remontant au début de l’année 2021, en se basant sur l’horodatage de la compilation de ces artefacts.

Les shells web sont généralement des outils malveillants qui permettent de prendre le contrôle à distance d’un serveur compromis. Une fois téléchargés, ils permettent aux acteurs de la menace de mener une série d’activités post-exploitation, notamment le vol de données, la surveillance des serveurs et la progression latérale au sein du réseau.

La chaîne d’attaque implique l’outil d’administration à distance PAExec, une alternative à PsExec utilisée comme point de départ pour créer une tâche planifiée qui se fait passer pour une mise à jour Microsoft (« MicrosoftsUpdate »), laquelle est ensuite configurée pour exécuter un script batch Windows (« JKNLA.bat »).

Ce script accepte comme argument le chemin d’accès absolu à un fichier DLL (« hrserv.dll ») qui est ensuite exécuté en tant que service pour lancer un serveur HTTP capable d’analyser les requêtes HTTP entrantes en vue d’actions ultérieures.

« En fonction du type et des informations contenues dans une requête HTTP, des fonctions spécifiques sont activées », a déclaré M. Degirmenci, ajoutant que « les paramètres GET utilisés dans le fichier hrserv.dll, qui sert à imiter les services de Google, comprennent ‘hl' ». Il s’agit probablement d’une tentative de la part de l’acteur de la menace de fondre ces requêtes malveillantes dans le trafic réseau et de rendre beaucoup plus difficile la distinction entre les activités malveillantes et les événements bénins. Ces requêtes HTTP GET et POST contiennent un paramètre appelé cp, dont la valeur – comprise entre 0 et 7 – détermine la suite des opérations. Il s’agit notamment de lancer de nouvelles discussions, de créer des fichiers dans lesquels sont écrites des données arbitraires, de lire des fichiers et d’accéder aux données HTML de l’application Web d’Outlook. Si la valeur de cp dans la requête POST est égale à « 6 », elle déclenche l’exécution du code en analysant les données codées et en les copiant dans la mémoire, après quoi un nouveau fil d’exécution est créé et le processus entre en état de veille. Le shell web est également capable d’activer l’exécution d’un « implant multifonctionnel » furtif dans la mémoire, chargé d’effacer les traces médico-légales en supprimant la tâche « MicrosoftsUpdate » ainsi que les fichiers DLL et batch initiaux utilisés pendant la chaîne d’infection. L’acteur de la menace derrière web shell n’est actuellement pas connu mais la présence de plusieurs fautes de frappe dans le code source indique que l’auteur du malware n’est pas de langue maternelle anglaise. « Notamment, web shell et l’implant de mémoire utilisent des chaînes différentes pour des conditions spécifiques », a conclu Degirmenci. « En outre, l’implant de mémoire comporte un message d’aide méticuleusement rédigé ». « Compte tenu de ces facteurs, les caractéristiques du malware correspondent davantage à une activité malveillante motivée par des raisons financières. Cependant, sa méthodologie opérationnelle présente des similitudes avec le comportement des APT ».

Découvrez comment la détection et la réponse des applications, ainsi que la modélisation automatisée du comportement, peuvent révolutionner votre défense contre les menaces d’origine interne.

L’ingénierie sociale fonctionne si bien, décryptons l’esprit des cyber-attaquants.

Inscrivez-vous gratuitement et commencez à recevoir votre dose quotidienne de nouvelles, d’idées et de conseils en matière de cybersécurité.