Los investigadores de ciberseguridad han descubierto un grupo de amenazas no reportado anteriormente llamado OP-512 (“OP” significa “oponente”). Se ha observado que este grupo de amenazas se dirige a los servidores de Microsoft Internet Information Services (IIS) para implementar un marco de shell web personalizado.
LiliaQuest evaluó con confianza media a alta que la actividad centrada en el espionaje está vinculada a China.
«Es muy probable que OP-512 estuviera realizando espionaje a través de servidores web de Servicios de Información de Internet (IIS) comprometidos en una organización cuyo sector y geografía se alinean con las prioridades de inteligencia relacionadas con China», dijo la compañía en un informe compartido con Hacker News.
Si bien no hemos encontrado ninguna superposición entre OP-512 y otros actores de amenazas conocidos relacionados con China, este es el cuarto grupo de amenazas de este tipo que identifica servidores web IIS en los últimos 12 meses, después de CL-STA-0048, DragonRank y GhostRedirector. El mes pasado, Cisco Talos reveló que varios grupos de cibercrimen de habla china compartían una variante de malware llamada BadIIS para infectar servidores IIS.
Los servidores IIS también fueron atacados por SHADOW-EARTH-053 como parte de una nueva campaña de espionaje alineada con China dirigida a los sectores gubernamentales y de defensa en el sur, este y sudeste de Asia.
En el corazón de la operación de OP-512 se encuentra un marco de shell web personalizado que consta de tres shells web que permiten a los atacantes acceso remoto a los hosts comprometidos. Al mismo tiempo, toman medidas para evadir la detección basada en firmas y complicar las líneas de tiempo forenses mediante el uso de técnicas como el time-stomping, que manipula intencionalmente las marcas de tiempo al crear o modificar artefactos de shell web.
Específicamente, escanea todos los archivos y subcarpetas alrededor de donde se encuentra el shell web, calcula la marca de tiempo mediana de la última modificación y sobrescribe sus propios tiempos de creación y modificación para que coincidan con ese valor, dando la impresión de que ha existido durante algún tiempo.
«Este marco combina características que no suelen verse juntas: cada implementación se genera de forma única, el acceso está restringido a los atacantes mediante controles criptográficos, los servidores comprometidos se informan automáticamente y es posible una gestión centralizada a escala», afirma ReliaQuest.
La proximidad táctica de OP-512 a CL-STA-0048 plantea la posibilidad de que sea un grupo existente con un conjunto de herramientas completamente renovado, o que haya desarrollado estas capacidades de forma independiente. Independientemente de sus orígenes, se dice que este grupo de hackers es un grupo separado que opera de forma autónoma.
En este ataque observado por la empresa de ciberseguridad, se descubrió que el actor de la amenaza tenía como objetivo servidores IIS heredados que ejecutaban Windows Server 2016 con .NET Framework 4.0 que ya no es compatible. Hay evidencia de actividad previa en el mismo host aproximadamente 75 días antes del incidente principal. Esto incluyó una consulta DNS a otro dominio controlado por el atacante (‘ashx.lhlsjcb(.)com’).
La serie de acciones que se desarrollaron varias semanas después se describe como un «sprint», en el que el atacante utilizó el proceso de trabajo del servidor web («w3wp.exe») para colocar uno de los shells web en el directorio de carga de la aplicación. Esto activa un mecanismo de autoinforme que utiliza una consulta DNS o una solicitud HTTP como alternativa para enviar la ubicación del shell web a un dominio controlado por el atacante.
«Al combinar tres shells web, el atacante pudo administrar archivos, autenticar la ejecución de comandos a través de dos rutas de acceso independientes e informar automáticamente sobre violaciones de seguridad antes de que alguien pudiera reaccionar», explicaron los investigadores de ReliaQuest.
Al implementar el web shell, OP-512 supuestamente usó Potato Suite para elevar los privilegios al nivel de SISTEMA y luego intentó verificar los privilegios del sistema ejecutando comandos como «whoami /priv».
«Es poco probable que el surgimiento de cuatro grupos vinculados a China que apuntan a la misma tecnología en un año sea una coincidencia», dijo Reliaquest. «Los servidores IIS con acceso a Internet que ejecutan software heredado no compatible siguen siendo el punto de entrada preferido en este ecosistema de amenazas y no muestran signos de desaceleración».
«Lo que más debería preocupar a los defensores es lo que hace que OP-512 sea diferente. Este grupo de amenazas no utiliza herramientas genéricas y las reutiliza en todas las campañas. Utiliza un marco patentado diseñado para derrotar los métodos de detección que funcionan contra los otros tres grupos. Las organizaciones que están adaptando sus defensas a atacantes conocidos pueden no estar cubiertas aquí».
Source link
