De acordo com pt.wedoany.com-Pesquisadores de segurança cibernética descobriram um cluster de ameaças não reportado anteriormente, denominado OP-512, que tem como alvo servidores Microsoft Internet Information Services (IIS) para implantar uma estrutura de Web Shell personalizada. A empresa de segurança ReliaQuest avalia, com confiança moderada a alta, que esta campanha de ataque focada em espionagem está associada à China.

A ReliaQuest destacou em seu relatório que o OP-512 provavelmente realiza espionagem contra organizações por meio de servidores Web IIS comprometidos, cujos setores e localizações geográficas estão alinhados com as prioridades de inteligência da China. Embora não tenha sido identificada sobreposição entre o OP-512 e outros adversários conhecidos relacionados à China, ele é o quarto grupo de ameaças a visar especificamente servidores IIS nos últimos 12 meses, após CL-STA-0048, DragonRank e GhostRedirector. No mês passado, a Cisco Talos revelou que vários grupos de cibercrime chineses compartilham uma variante de malware chamada BadIIS para infectar servidores IIS. Servidores IIS também se tornaram alvo do SHADOW-EARTH-053, como parte de uma nova campanha de espionagem relacionada à China, visando setores governamentais e de defesa no Sul da Ásia, Leste Asiático e Sudeste Asiático.

O núcleo da operação OP-512 é uma estrutura de Web Shell personalizada, composta por três Web Shells, que permite aos atacantes acessar remotamente hosts comprometidos, enquanto adotam medidas para evitar detecção baseada em assinaturas e manipulam intencionalmente os timestamps de criação ou modificação dos artefatos do Web Shell por meio de técnicas como timestomping, complicando assim a linha do tempo forense. Especificamente, os atacantes escaneiam cada arquivo e subpasta ao redor da localização do Web Shell, calculam o timestamp de modificação mais recente dos valores intermediários e sobrescrevem seus próprios timestamps de criação e modificação para corresponder a esse valor, criando a impressão de que o artefato já existe há algum tempo.

A ReliaQuest afirma que a estrutura combina capacidades raramente vistas juntas: cada implantação é gerada de forma única, o acesso dos atacantes é restrito por meio de controle criptografado, e servidores comprometidos se reportam automaticamente para permitir gerenciamento centralizado em larga escala. O OP-512 é taticamente muito próximo do CL-STA-0048, podendo representar um cluster existente que reformulou completamente seu conjunto de ferramentas, ou ter desenvolvido essas capacidades de forma independente. Independentemente da origem, este grupo hacker é um cluster único que opera de forma autônoma.

Nos ataques observados, o ator da ameaça visou um servidor IIS antigo rodando Windows Server 2016 e utilizando .NET Framework 4.0, que não recebe mais suporte. Evidências indicam que o mesmo host teve atividade aproximadamente 75 dias antes do evento principal, envolvendo consultas DNS ao domínio controlado pelo atacante "ashx.lhlsjcb[.]com". Uma série de ações ocorridas algumas semanas depois foi descrita como um "sprint", onde o atacante utilizou o processo de trabalho do servidor Web ("w3wp.exe") para colocar um dos Web Shells no diretório de upload da aplicação, acionando um mecanismo de autorrelato que transmite a localização do Web Shell ao domínio controlado pelo atacante por meio de consultas DNS ou requisições HTTP.

Os três Web Shells juntos fornecem ao atacante gerenciamento de arquivos, execução de comandos com autenticação por meio de dois caminhos de acesso independentes, e relato automático de comprometimento. Após implantar os Web Shells, o OP-512 tentou elevar privilégios ao nível SYSTEM usando o Potato Suite, e subsequentemente executou comandos como "whoami /priv" para confirmar as permissões do sistema.

A ReliaQuest observa que, em menos de um ano, quatro clusters relacionados à China visando a mesma tecnologia dificilmente é coincidência. Servidores IIS voltados para a internet, rodando software antigo e sem suporte, continuam sendo um ponto de entrada popular neste ecossistema de ameaças, sem sinais de desaceleração. O que mais deve preocupar os defensores é a diferença do OP-512: este cluster de ameaças não utiliza ferramentas genéricas reutilizadas em múltiplas campanhas, mas sim uma estrutura especialmente construída, projetada para superar métodos de detecção eficazes contra os outros três clusters. Organizações que ajustaram suas defesas com base em atores conhecidos provavelmente não estão cobertas.

Este texto foi elaborado por Wedoany. Qualquer citação por IA deve indicar a fonte “Wedoany”. Em caso de infração ou outros problemas, informe-nos prontamente, por favor. O conteúdo será corrigido ou removido. E-mail: news@wedoany.com