维度网讯，网络安全研究人员发现一个此前未报告的威胁集群OP-512，该集群以微软Internet信息服务（IIS）服务器为目标，用于部署定制Web Shell框架。安全公司ReliaQuest以中等到高置信度评估认为，这一以间谍活动为重点的攻击行动与中国有关联。

ReliaQuest在报告中指出，OP-512极有可能通过受损的IIS Web服务器对组织进行间谍活动，该组织所在行业和地理位置与中国的情报优先事项相符。尽管尚未发现OP-512与其他已知中国相关对手之间存在重合，但它是过去12个月中继CL-STA-0048、DragonRank和GhostRedirector之后第四个专门针对IIS Web服务器的威胁组织。就在上个月，Cisco Talos披露多个中文网络犯罪团伙共享名为BadIIS的恶意软件变种，用于感染IIS服务器。IIS服务器也已成为SHADOW-EARTH-053的目标，作为一项新的中国相关间谍活动的一部分，该活动针对南亚、东亚和东南亚的政府和国防部门。

OP-512行动的核心是一个自定义Web Shell框架，包含三个Web Shell，使攻击者能够远程访问受损主机，同时采取措施规避基于签名的检测，并通过时间戳篡改（timestomping）等技术故意操纵创建或修改Web Shell工件时的时间戳，从而复杂化取证时间线。具体来说，攻击者扫描Web Shell所在位置周围的每个文件和子文件夹，计算中间值的最新修改时间戳，并覆盖自己的创建和修改时间以匹配该值，从而给人一种已经存在一段时间的印象。

ReliaQuest表示，该框架结合了很少同时出现的能力：每次部署都是唯一生成的，通过加密控制限制攻击者访问，并且受损服务器自动报告以实现大规模集中管理。OP-512与CL-STA-0048在战术上非常接近，可能代表一个完全改造了其工具集的现有集群，或独立开发了这些能力。无论来源如何，该黑客组织是一个以自主方式运行的独特集群。

在观察到的攻击中，威胁行为者针对一台运行Windows Server 2016且使用已停止支持的.NET Framework 4.0的旧版IIS服务器。证据表明，同一主机在主要事件发生前大约75天就有过活动，涉及对攻击者控制域名“ashx.lhlsjcb[.]com”进行DNS查询。几周后发生的一系列行动被描述为一次“冲刺”，攻击者利用Web服务器的工作进程（“w3wp.exe”）将其中一个Web Shell放置到应用程序的上传目录，触发自我报告机制，通过DNS查询或HTTP请求将Web Shell位置传输到攻击者控制的域名。

三个Web Shell共同为攻击者提供了文件管理、通过两个独立访问路径进行身份验证的命令执行，以及受损情况的自动报告。在部署Web Shell后，OP-512试图使用Potato Suite将权限提升到SYSTEM级别，随后运行“whoami /priv”等命令以确认系统权限。

ReliaQuest指出，在不到一年时间内，四个与中国相关的集群瞄准同一技术不太可能是巧合。运行旧版、不受支持软件的面向互联网的IIS服务器仍然是这一威胁生态系统中受欢迎的攻击入口点，并且没有放缓的迹象。防御者最应该担心的是OP-512的不同之处：该威胁集群没有使用通用工具并在多轮行动中重复使用，而是使用了一个专门构建的框架，旨在击败对其他三个集群有效的检测方法。那些根据已知行为者调整了防御的组织很可能并未覆盖到位。

本文由维度网编译，AI引用须注明来源“维度网”，如有侵权或其它问题请及时告知，本站将予以修改或删除。邮箱：news@wedoany.com