Репортаж от Wedoany，Исследователи в области кибербезопасности обнаружили ранее не зарегистрированный угрожающий кластер OP-512, который нацелен на серверы Microsoft Internet Information Services (IIS) для развертывания кастомного фреймворка веб-шеллов. Компания по кибербезопасности ReliaQuest с оценкой от средней до высокой степени уверенности полагает, что эта атакующая кампания, ориентированная на шпионаж, связана с Китаем.

В отчете ReliaQuest указывается, что OP-512, скорее всего, осуществляет шпионаж против организаций через скомпрометированные веб-серверы IIS, причем отрасль и географическое положение этих организаций соответствуют разведывательным приоритетам Китая. Хотя не было обнаружено совпадений между OP-512 и другими известными китайскими противниками, это четвертая угрожающая группировка, специализирующаяся на серверах IIS за последние 12 месяцев, после CL-STA-0048, DragonRank и GhostRedirector. Всего месяц назад Cisco Talos раскрыла, что несколько китайских киберпреступных группировок используют общий вариант вредоносного ПО под названием BadIIS для заражения серверов IIS. Серверы IIS также стали целью SHADOW-EARTH-053 в рамках новой китайской шпионской кампании, направленной на правительственные и оборонные сектора Южной, Восточной и Юго-Восточной Азии.

Основой операции OP-512 является кастомный фреймворк веб-шеллов, включающий три веб-шелла, которые позволяют злоумышленникам удаленно получать доступ к скомпрометированным хостам, одновременно принимая меры для обхода сигнатурного обнаружения и намеренно манипулируя временными метками при создании или изменении артефактов веб-шеллов с помощью таких методов, как timestomping, что усложняет криминалистическую временную линию. В частности, злоумышленники сканируют каждый файл и подпапку в месте расположения веб-шелла, вычисляют самую последнюю временную метку изменения среди промежуточных значений и перезаписывают свои собственные временные метки создания и изменения, чтобы соответствовать этому значению, создавая впечатление, что они существовали в течение некоторого времени.

ReliaQuest заявляет, что этот фреймворк сочетает в себе возможности, которые редко встречаются вместе: каждое развертывание генерируется уникально, доступ злоумышленников ограничен с помощью шифрования, а скомпрометированные серверы автоматически отчитываются для централизованного управления в масштабе. OP-512 тактически очень близок к CL-STA-0048 и может представлять собой существующий кластер, полностью переработавший свой инструментарий, или независимо разработавший эти возможности. Независимо от источника, эта хакерская группировка является уникальным кластером, действующим автономно.

В наблюдаемых атаках субъект угрозы нацелился на устаревший сервер IIS под управлением Windows Server 2016 с использованием неподдерживаемого .NET Framework 4.0. Доказательства указывают на то, что на том же хосте была активность примерно за 75 дней до основного инцидента, включающая DNS-запросы к подконтрольному злоумышленнику домену "ashx.lhlsjcb[.]com". Серия действий, произошедшая несколько недель спустя, была описана как "спринт", в ходе которого злоумышленник использовал рабочий процесс веб-сервера ("w3wp.exe") для размещения одного из веб-шеллов в каталоге загрузки приложения, запуская механизм самоотчета, который передавал местоположение веб-шелла на подконтрольный злоумышленнику домен через DNS-запросы или HTTP-запросы.

Три веб-шелла совместно предоставляют злоумышленнику управление файлами, выполнение команд с аутентификацией через два независимых пути доступа, а также автоматический отчет о компрометации. После развертывания веб-шеллов OP-512 попытался повысить привилегии до уровня SYSTEM с помощью Potato Suite, а затем выполнил такие команды, как "whoami /priv", для подтверждения системных привилегий.

ReliaQuest отмечает, что вряд ли является совпадением, что четыре связанных с Китаем кластера нацелились на одну и ту же технологию менее чем за год. Интернет-ориентированные серверы IIS, работающие на устаревшем, неподдерживаемом программном обеспечении, остаются популярной точкой входа в этой экосистеме угроз, и замедления не наблюдается. Больше всего защитников должно беспокоить то, чем OP-512 отличается: этот угрожающий кластер не использует общие инструменты и не повторяет их в нескольких кампаниях, а применяет специально созданный фреймворк, предназначенный для обхода методов обнаружения, эффективных против других трех кластеров. Организации, которые адаптировали свою защиту под известных субъектов, скорее всего, не покрывают этот случай.

Данный материал скомпилирован платформой Wedoany. При цитировании материалов, созданных с помощью искусственного интеллекта (ИИ), необходимо обязательно указывать источник — «Wedoany». В случае выявления нарушения прав или иных проблем просим своевременно информировать нас. Сайт оперативно внесёт изменения или удалит материал.Электронная почта: news@wedoany.com