В ходе недавнего расследования “Лаборатории Касперского” исследователями был обнаружен DLL-файл, идентифицированный как “hrserv.dll”, представляющий из себя ранее неизвестный веб-шелл с продвинутыми функциями, такими как специальные методы кодирования для коммуникации с клиентом и выполнение операций в памяти.
Анализ этого образца привёл к обнаружению связанных вариантов, скомпилированных ещё в 2021 году, что указывает на потенциальную связь между этими отдельными случаями злонамеренной активности.
HrServ начинает свою работу с создания задачи в планировщике Windows под видом обычного системного обновления. Он использует специальный скрипт, который загружает и активирует вредоносный файл на заражённом компьютере. После этого HrServ настраивает себя для запуска и управления через удалённый сервер.
Этот веб-шелл умело маскирует свою активность, имитируя обычный интернет-трафик. Для этого он использует сложные методы, включая кодирование Base64 и хэширование алгоритмами FNV1A64.
Как сообщается, веб-шелл HrServ способен подменять информацию в интернет-запросах таким образом, чтобы они выглядели как обычные запросы к Google.
После активации вредонос может выполнять различные действия на заражённом устройстве, включая чтение и запись файлов, а также выполнение произвольных команд. Это позволяет злоумышленникам красть данные, следить за активностью пользователя и даже полностью контролировать его компьютер.
На данный момент известно, что вредоносное ПО использовалось только для атаки на государственное учреждение в Афганистане. Однако, учитывая его сложность и способность к маскировке, HrServ может представлять угрозу для широкого круга организаций и частных лиц в любой стране мира.
Расследование “Лаборатории Касперского” подчёркивает необходимость бдительности и использования продвинутых методов защиты, чтобы обезопасить себя от подобного рода угроз. Команда специалистов продолжит исследовать этот веб-шелл и мониторить связанную с ним активность, чтобы помочь предотвратить будущие атаки.