Investigadores de ciberseguridad han descubierto un grupo de amenazas no reportado anteriormente denominado OP-512 (donde «OP» significa «oponente») que se ha observado apuntando a servidores Microsoft Internet Information Services (IIS) para implementar un marco de shell web personalizado.
ReliaQuest ha evaluado con confianza de moderada a alta que la actividad centrada en el espionaje está vinculada a China.
«Es muy probable que OP-512 estuviera realizando espionaje a través de un servidor web de Internet Information Services (IIS) comprometido en una organización cuyo sector y geografía se alinean con las prioridades de inteligencia vinculadas a China», dijo la compañía en un informe compartido con The Hacker News.
Aunque no se han encontrado superposiciones entre OP-512 y otros adversarios conocidos alineados con China, es el cuarto grupo de amenazas después de CL-STA-0048, DragonRank y GhostRedirector que destaca los servidores web IIS en los últimos 12 meses. El mes pasado, Cisco Talos reveló que varios grupos de cibercrimen de habla china están compartiendo una variante de malware llamado BadIIS para infectar servidores IIS.
Los servidores IIS también han sido atacados por SHADOW-EARTH-053 como parte de una nueva campaña de espionaje alineada con China dirigida a los sectores gubernamentales y de defensa en el sur, este y sudeste de Asia.
Un elemento central de las operaciones de OP-512 es un marco de shell web personalizado que consta de tres shells web que otorgan a los atacantes acceso remoto al host comprometido, al mismo tiempo que toman medidas para evadir la detección basada en firmas y complicar los cronogramas forenses utilizando técnicas como el timestomping para manipular intencionalmente las marcas de tiempo cuando se crean o modifican los artefactos del web shell.
Específicamente, esto implica escanear cada archivo y subcarpeta alrededor de donde se encuentran los shells web, calcular la marca de tiempo mediana de la última modificación y sobrescribir sus propios tiempos de creación y modificación para que coincidan con ese valor, dando así la impresión de que han estado presentes durante algún tiempo.
«Este marco combina capacidades que rara vez vemos juntas: cada implementación se genera de forma única, el acceso está restringido al atacante a través de controles criptográficos y los servidores comprometidos informan automáticamente para una gestión centralizada a escala», dijo ReliaQuest.
OP-512 comparte una estrecha proximidad táctica con CL-STA-0048, lo que ha planteado la posibilidad de que represente un grupo existente que haya renovado completamente su conjunto de herramientas o haya desarrollado estas capacidades de forma independiente por su cuenta. Independientemente de sus orígenes, se dice que el grupo de hackers es un grupo distinto que opera de manera autónoma.
En el ataque observado por la empresa de ciberseguridad, se descubrió que el actor de la amenaza tenía como objetivo un servidor IIS heredado que ejecuta Windows Server 2016 con .NET Framework 4.0 al final de su vida útil. Hay evidencia de actividad previa en el mismo host, aproximadamente 75 días antes de que ocurriera el incidente principal. Esto implicó consultas DNS a un dominio diferente controlado por el atacante («ashx.lhlsjcb(.)com»).
La secuencia de acciones que se desarrolló semanas después se describió como un «sprint», en el que el atacante utilizó el proceso de trabajo del servidor web («w3wp.exe») para colocar uno de los shells web en el directorio de carga de la aplicación. Esto, a su vez, activa un mecanismo de autoinforme que utiliza una consulta DNS o una solicitud HTTP como alternativa para transmitir la ubicación del shell web a un dominio controlado por el atacante.
«Juntos, los tres web shells brindaron al atacante administración de archivos, ejecución de comandos autenticados a través de dos rutas de acceso independientes e informes automatizados del compromiso, todo antes de que alguien tuviera tiempo de responder», explicaron los investigadores de ReliaQuest.
Con los web shells desplegados, se dice que OP-512 intentó escalar privilegios al nivel de SISTEMA usando Potato Suite, seguido de ejecutar comandos como «whoami /priv» para confirmar sus derechos en el sistema.
«Es poco probable que cuatro grupos vinculados a China que apuntan a la misma tecnología en menos de un año sean una coincidencia», dijo ReliaQuest. «Los servidores IIS con acceso a Internet que ejecutan software heredado y no compatible siguen siendo un punto de entrada preferido en este ecosistema de amenazas y no muestran signos de desaceleración».
«Lo que más debería preocupar a los defensores es lo que hace que OP-512 sea diferente. Este grupo de amenazas no utiliza herramientas básicas y las recicla en todas las campañas. Está utilizando un marco especialmente diseñado para derrotar los métodos de detección que funcionan contra los otros tres grupos. Las organizaciones que han ajustado sus defensas a actores conocidos probablemente no estén cubiertas aquí».