Проведенный анализ обычного инцидента Лаборатории Касперского выявил интересные особенности. Обнаруженная веб-оболочка hrserv представляет собой продвинутый инструмент, ранее неизвестный исследователям. Дополнительный анализ показал наличие родственных вариантов, датированных 2021 годом, что может указывать на связь между различными кластерами вредоносной активности.

Начальное заражение связано с процессом PAExec.exe, который запускает создание запланированного задания MicrosoftsUpdate для выполнения BAT с путем к файлу DLL. Файл $public\hrserv.dll копируется в каталог System32, а служба настраивается через реестр и утилиту sc, активируя вновь созданную службу.

Последовательность операций начинается с регистрации обработчика службы. Затем HrServ запускает HTTP-сервер, используя API HTTP-сервера для своей функциональности. Для обмена информацией между клиентом и сервером используются специальные методы кодирования, включая кодировку Base64 и алгоритмы хеширования FNV1A64.

В зависимости от информации в HTTP-запросе активируются определенные функции, что приводит к активации многофункционального импланта в памяти системы. Этот имплант создает файл в каталоге «%temp%», извлекает информацию из реестра, выполняет действия на основе этой информации и записывает результаты в созданный файл. Реестр и временный файл используются для связи между имплантом и HrServ.

После успешной установки в системной памяти происходит удаление запланированного задания MicrosoftsUpdate, исходной DLL и пакетных файлов. Согласно телеметрии ЛК, известной жертвой стало правительственное учреждение в Афганистане. Анализ TTPs не позволил однозначно определить источник угрозы.

Интересно, что параметры GET, используемые в файле hrserv.dll для имитации служб Google, включают «hl», определяющий основной язык пользовательского интерфейса и значение «en-TW», указывающее на английский язык интерфейса поиска и китайский язык результатов поиска.

Опечатки в тексте позволяют предположить, что хакер, стоящий за образцами, не является носителем английского языка. Исследователи полагают, что характеристики вредоносного ПО больше соответствуют финансово мотивированной вредоносной деятельности, однако операционная методология hrserv больше соотносится с поведением APT.