Cybersecurity-onderzoekers hebben een voorheen niet-gerapporteerd dreigingscluster ontdekt, genaamd OP-512 Er is waargenomen dat deze zich richten op Microsoft Internet Information Services (IIS)-servers om een op maat gemaakt webshell-framework te implementeren.
ReliaQuest heeft met matig tot hoog vertrouwen vastgesteld dat de op spionage gerichte activiteit verband houdt met China.
“OP-512 voerde hoogstwaarschijnlijk spionage uit via een gecompromitteerde Internet Information Services (IIS)-webserver op een organisatie waarvan de sector en geografie overeenkomen met aan China gelinkte inlichtingenprioriteiten”, aldus het bedrijf in een rapport gedeeld met The Hacker News.
Hoewel er geen overlappingen zijn gevonden tussen OP-512 en andere bekende, met China verbonden tegenstanders, is het na CL-STA-0048, DragonRank en GhostRedirector de vierde dergelijke dreigingsgroep die de afgelopen twaalf maanden IIS-webservers heeft uitgekozen. Vorige maand onthulde Cisco Talos dat meerdere Chineessprekende cybercriminaliteitsgroepen een variant van malware delen, genaamd BadIIS, om IIS-servers te infecteren.
IIS-servers zijn ook het doelwit van SHADOW-EARTH-053 als onderdeel van een nieuwe, op China gerichte spionagecampagne gericht op de overheids- en defensiesectoren in Zuid-, Oost- en Zuidoost-Azië.
Centraal in de werking van OP-512 staat een aangepast webshell-framework dat bestaat uit drie webshells die de aanvallers op afstand toegang verlenen tot de gecompromitteerde host, terwijl ze stappen ondernemen om op handtekeningen gebaseerde detectie te omzeilen en forensische tijdlijnen te compliceren met behulp van technieken zoals timestomping om opzettelijk de tijdstempels te manipuleren wanneer de webshell-artefacten worden gemaakt of gewijzigd.
Concreet houdt dit in dat elk bestand en elke submap rondom de webshells wordt gescand, de mediaan van de laatst gewijzigde tijdstempel wordt berekend en de eigen aanmaak- en wijzigingstijden worden overschreven om aan die waarde te voldoen, waardoor de indruk wordt gewekt dat ze al een tijdje aanwezig zijn.
“Dit raamwerk combineert mogelijkheden die we zelden samen zien: elke implementatie wordt uniek gegenereerd, de toegang is beperkt tot de aanvaller door middel van cryptografische controles, en gecompromitteerde servers rapporteren automatisch terug voor gecentraliseerd beheer op schaal”, aldus ReliaQuest.
OP-512 deelt tactisch dicht bij CL-STA-0048, wat de mogelijkheid heeft doen ontstaan dat het ofwel een bestaand cluster vertegenwoordigt dat zijn toolset volledig heeft vernieuwd, ofwel deze mogelijkheden zelfstandig heeft ontwikkeld. Ongeacht de oorsprong ervan wordt gezegd dat de hackgroep een aparte cluster is die op een autonome manier opereert.
Bij de aanval die door het cyberbeveiligingsbedrijf werd waargenomen, bleek dat de bedreiging zich richtte op een oudere IIS-server met Windows Server 2016 met end-of-life .NET Framework 4.0. Er zijn aanwijzingen van eerdere activiteiten op dezelfde gastheer, ongeveer 75 dagen voordat het hoofdincident plaatsvond. Het betrof DNS-query’s naar een ander door de aanvaller gecontroleerd domein (“ashx.lhlsjcb(.)com”).
De reeks acties die weken later plaatsvond, wordt beschreven als een ‘sprint’, waarbij de aanvaller het werkproces van de webserver (‘w3wp.exe’) gebruikt om een van de webshells naar de uploadmap van de applicatie te plaatsen. Dit activeert op zijn beurt een zelfrapportagemechanisme dat een DNS-query of een HTTP-verzoek gebruikt als terugval om de locatie van de webshell naar een door de aanvaller gecontroleerd domein te verzenden.
“Samen gaven de drie webshells de aanvaller bestandsbeheer, geauthenticeerde opdrachtuitvoering via twee onafhankelijke toegangspaden en geautomatiseerde rapportage van de inbreuk, allemaal voordat iemand tijd had om te reageren”, legden ReliaQuest-onderzoekers uit.
Toen de webshells waren geïmplementeerd, zou OP-512 hebben geprobeerd de bevoegdheden naar het SYSTEEM-niveau te escaleren met behulp van de Potato Suite, gevolgd door het uitvoeren van opdrachten als “whoami /priv” om hun systeemrechten te bevestigen.
“Vier met China verbonden clusters die zich binnen een jaar op dezelfde technologie richten, zijn waarschijnlijk geen toeval”, aldus ReliaQuest. “Internetgerichte IIS-servers met verouderde, niet-ondersteunde software blijven een geprefereerd toegangspunt in dit bedreigingsecosysteem en vertonen geen tekenen van vertraging.”
“Wat verdedigers het meest zorgen zou moeten maken, is wat OP-512 anders maakt. Dit dreigingscluster maakt geen gebruik van commodity-tools en hergebruikt deze in campagnes. Het gebruikt een speciaal gebouwd raamwerk dat is ontworpen om de detectiemethoden te verslaan die tegen de andere drie clusters werken. Organisaties die hun verdediging hebben afgestemd op bekende actoren, komen hier waarschijnlijk niet aan bod.”
