Веб-шелл «HrServ» — продвинутое кибероружие в руках злоумышленников

HrServ DLL Windows Google Base64 FNV1A64 веб-шелл Лаборатория Касперского Афганистан
Веб-шелл «HrServ» — продвинутое кибероружие в руках злоумышленников
HrServ DLL Windows Google Base64 FNV1A64 веб-шелл Лаборатория Касперского Афганистан

Исследователи «Лаборатории Касперского» раскрыли новую угрозу и подробно описали принцип её работы.

image

В ходе недавнего расследования «Лаборатории Касперского» исследователями был обнаружен DLL-файл, идентифицированный как «hrserv.dll», представляющий из себя ранее неизвестный веб-шелл с продвинутыми функциями, такими как специальные методы кодирования для коммуникации с клиентом и выполнение операций в памяти.

Анализ этого образца привёл к обнаружению связанных вариантов, скомпилированных ещё в 2021 году, что указывает на потенциальную связь между этими отдельными случаями злонамеренной активности.

HrServ начинает свою работу с создания задачи в планировщике Windows под видом обычного системного обновления. Он использует специальный скрипт, который загружает и активирует вредоносный файл на заражённом компьютере. После этого HrServ настраивает себя для запуска и управления через удалённый сервер.

Этот веб-шелл умело маскирует свою активность, имитируя обычный интернет-трафик. Для этого он использует сложные методы, включая кодирование Base64 и хэширование алгоритмами FNV1A64.

Как сообщается, веб-шелл HrServ способен подменять информацию в интернет-запросах таким образом, чтобы они выглядели как обычные запросы к Google.

После активации вредонос может выполнять различные действия на заражённом устройстве, включая чтение и запись файлов, а также выполнение произвольных команд. Это позволяет злоумышленникам красть данные, следить за активностью пользователя и даже полностью контролировать его компьютер.

На данный момент известно, что вредоносное ПО использовалось только для атаки на государственное учреждение в Афганистане. Однако, учитывая его сложность и способность к маскировке, HrServ может представлять угрозу для широкого круга организаций и частных лиц в любой стране мира.

Расследование «Лаборатории Касперского» подчёркивает необходимость бдительности и использования продвинутых методов защиты, чтобы обезопасить себя от подобного рода угроз. Команда специалистов продолжит исследовать этот веб-шелл и мониторить связанную с ним активность, чтобы помочь предотвратить будущие атаки.

Где кванты и ИИ становятся искусством?

На перекрестке науки и фантазии — наш канал

Подписаться

Новости по теме

Ждете, когда Google наконец уберет сторонние куки в Chrome? Придется потерпеть еще год

Заработок мечты или обман? Детали скам-схемы с TON в Telegram

Новый троян Brokewell превращает Android-смартфон в инструмент слежки

Новая постквантовая криптография Google Chrome вызывает глобальные сбои в сети

Python-разработчики, внимание: хакеры охотятся на ваш Discord

Google Meet расширяет границы: теперь общаться можно и без аккаунта Google

Загадочное исчезновение Tutao из Google-поиска: корпорация строит козни конкурентам?

IT-профессионалы на мушке: бэкдор MadMxShell прячется в легитимных сетевых инструментах

Kaolin RAT: северокорейские хакеры прячут свой новый троян в вакансиях о работе