Эксперты по кибербезопасности выявили ранее неизвестную группу злоумышленников — OP‑512. Хакеры атакуют серверы Microsoft Internet Information Services (IIS) и внедряют специально разработанную веб‑оболочную инфраструктуру.
По данным компании ReliaQuest, с умеренной и высокой степенью уверенности можно утверждать: деятельность группы носит разведывательный характер и связана с Китаем.
По информации из отчёта ReliaQuest (он был предоставлен изданию The Hacker News), злоумышленники, вероятно, ведут шпионаж через взломанные веб‑серверы IIS. Целевые организации по своему профилю и географическому расположению соответствуют приоритетам китайской разведки.
За последний год это уже четвёртая группа, целенаправленно атакующая IIS‑серверы. До этого аналогичными действиями занимались:
CL‑STA‑0048;
DragonRank;
GhostRedirector.
В прошлом месяце Cisco Talos сообщила, что несколько китайскоязычных киберпреступных групп распространяют разновидность вредоносного ПО BadIIS для заражения IIS‑серверов. Кроме того, SHADOW‑EARTH‑053 тоже нацелилась на IIS‑серверы: эта группа проводит шпионскую кампанию против госорганов и оборонных структур в Южной, Восточной и Юго‑Восточной Азии.
В основе атак OP‑512 — уникальная веб‑оболочная инфраструктура из трёх веб‑оболочек. Они дают злоумышленникам удалённый доступ к взломанной системе и помогают:
избегать обнаружения системами, основанными на сигнатурах;
усложнять расследование инцидентов.
Для этого хакеры применяют технику timestomping — намеренно изменяют временные метки (timestamps) при создании или изменении файлов веб‑оболочки. Алгоритм действий такой:
Сканируются все файлы и подпапки рядом с размещёнными веб‑оболочками.
Рассчитывается медианное значение времени последнего изменения файлов.
Вредоносные файлы перезаписывают свои метки создания и изменения, чтобы они совпадали с найденным медианным значением.
Так создаётся впечатление, будто веб‑оболочки находились в системе уже давно.
Уникальные особенности фреймворка
ReliaQuest отмечает, что эта инфраструктура объединяет редко встречающиеся вместе возможности:
каждое развёртывание генерируется индивидуально;
доступ для злоумышленника ограничен криптографическими средствами защиты;
взломанные серверы автоматически отправляют отчёты для централизованного управления в больших масштабах.
Детали атаки
В зафиксированном случае злоумышленники атаковали устаревший IIS‑сервер на базе Windows Server 2016 с вышедшей из поддержки версией .NET Framework 4.0. За 75 дней до основного инцидента на том же сервере были замечены DNS‑запросы к домену, контролируемому хакерами («ashx.lhlsjcb[.]com»).
Спустя несколько недель атака развернулась по сценарию, который эксперты назвали «спринтом»:
Злоумышленник использовал рабочий процесс веб‑сервера (w3wp.exe), чтобы разместить одну из веб‑оболочек в каталоге загрузки приложения.
Сработал механизм самоотчёта: местоположение веб‑оболочки передавалось на подконтрольный хакерам домен через DNS‑запрос или HTTP‑запрос (в качестве запасного варианта).
Три веб‑оболочки в совокупности давали злоумышленнику:
управление файлами на сервере;
выполнение аутентифицированных команд по двум независимым каналам доступа;
автоматическую отправку отчётов о взломе — всё это происходило до того, как специалисты успевали отреагировать.
После развёртывания веб‑оболочек OP‑512 попыталась повысить привилегии до уровня SYSTEM с помощью набора инструментов Potato Suite. Затем были запущены команды вроде whoami /priv для подтверждения прав в системе.
ReliaQuest подчёркивает: четыре китайские группы, атакующие одну и ту же технологию менее чем за год, — это вряд ли случайность. Серверы IIS с устаревшим и неподдерживаемым ПО остаются излюбленной точкой входа для злоумышленников.
Главная опасность OP‑512 в том, что группа не использует стандартные инструменты, применяемые в других кампаниях. Она применяет специально созданный фреймворк, который обходит методы обнаружения, эффективные против трёх других групп. Организации, настроившие защиту против известных угроз, могут оказаться уязвимы перед этой новой тактикой.
Чтобы комментировать, зарегистрируйтесь или авторизуйтесь
Киберпреступники активизировались в Латинской Америке и Европе: пользователи Windows и Android сталкиваются с новыми кампаниями по распространению банковских троянов. По данным исследователей из WatchGuard и ESET, вредонос Grandoreiro атакует компьютеры, а BTMOB — смартфоны.
Microsoft внедряет новую функцию Cloud‑Initiated Driver Recovery для Windows Update — она позволит автоматически откатывать проблемные драйверы через облако. Теперь, если обновление вызывает сбои в работе устройств или получает низкую оценку качества, компания сможет удалённо заменить драйвер без участия пользователя и производителя оборудования.
Производители программного обеспечения выпустили срочные обновления для устранения критических уязвимостей. Эти бреши могли позволить злоумышленникам обойти защиту, получить доступ к данным или выполнить произвольный код. Разберём подробно, какие проблемы были найдены и как их устранили.