Компания ReliaQuest раскрыла ранее неизвестный кластер угроз под обозначением OP-512, нацеленный на серверы Microsoft Internet Information Services (IIS). Группировка применяет специально разработанный фреймворк из трёх веб-шеллов, обеспечивающий удалённый доступ, управление файлами и автоматическое оповещение атакующих о новых компрометациях. Основная цель — шпионаж. Наибольшему риску подвержены организации, эксплуатирующие устаревшие версии IIS на неподдерживаемом программном обеспечении, в частности Windows Server 2016 с .NET Framework 4.0.
Технические детали фреймворка
Ядро операций OP-512 составляет кастомный фреймворк, включающий три веб-шелла с разделением функций. По данным исследователей, вместе они обеспечивают:
- Управление файлами на скомпрометированном хосте
- Аутентифицированное выполнение команд через два независимых пути доступа
- Автоматическое оповещение атакующей инфраструктуры о факте компрометации
Каждое развёртывание, как сообщается, генерируется уникально, а доступ к веб-шеллам ограничен криптографическими средствами — только оператор может взаимодействовать с установленными компонентами. Скомпрометированные серверы автоматически «отчитываются» перед централизованной инфраструктурой управления, что позволяет масштабировать операции.
Хронология наблюдаемой атаки
В зафиксированном инциденте целью стал устаревший сервер IIS на базе Windows Server 2016 с .NET Framework 4.0, который уже не получает обновлений безопасности. Примерно за 75 дней до основного инцидента на том же хосте были зафиксированы DNS-запросы к домену, контролируемому атакующими: ashx.lhlsjcb[.]com.
Спустя несколько недель последовала стремительная фаза атаки. Атакующий использовал рабочий процесс IIS (w3wp.exe) для размещения одного из веб-шеллов в каталоге загрузки приложения. Сразу после развёртывания сработал механизм самооповещения: веб-шелл отправил DNS-запрос (с HTTP-запросом в качестве резервного канала), передавая своё расположение на домен атакующих.
Уклонение от обнаружения: продвинутый timestomping
Фреймворк применяет технику timestomping (T1099 по MITRE ATT&CK) с нетривиальной реализацией. Вместо установки произвольных временных меток алгоритм сканирует все файлы и подкаталоги в окружении размещённых веб-шеллов, вычисляет медианное значение временной метки последнего изменения и перезаписывает время создания и модификации артефактов этим значением. В результате веб-шеллы выглядят так, будто существовали на сервере длительное время, что существенно затрудняет форензику и хронологический анализ инцидента.
Эскалация привилегий
После закрепления OP-512 предпринял попытку повышения привилегий до уровня SYSTEM с использованием Potato Suite — семейства известных техник эксплуатации токенов Windows. Для подтверждения полученных прав выполнялась команда whoami /priv.
Контекст угрозы: IIS как системная мишень
OP-512 стал, по данным ReliaQuest, четвёртым кластером угроз после CL-STA-0048, DragonRank и GhostRedirector, целенаправленно атакующим серверы IIS за последние 12 месяцев. При этом исследователи не обнаружили прямых пересечений инструментария OP-512 с другими известными группировками, хотя отмечается тактическая близость к CL-STA-0048. Это порождает две гипотезы: либо OP-512 представляет собой существующий кластер, полностью обновивший свой арсенал, либо это самостоятельная группа, независимо разработавшая аналогичные возможности.
Важная оговорка: атрибуция OP-512 и выводы о связи с конкретным государством основаны на оценке единственного исследовательского источника и не подтверждены независимо. Тем не менее сам факт концентрации нескольких кластеров на одной технологии за короткий период заслуживает внимания защитников.
Ключевое отличие OP-512 от смежных кластеров — отказ от массового инструментария. Фреймворк спроектирован для обхода именно тех методов обнаружения, которые эффективны против остальных трёх групп. Организации, настроившие защиту под известные кластеры, предположительно остаются уязвимыми перед OP-512.
Оценка воздействия
Наибольшему риску подвержены организации, эксплуатирующие серверы IIS с доступом из интернета на устаревших платформах — в первую очередь Windows Server 2016 и более ранних версий с неподдерживаемыми компонентами .NET Framework. Сочетание криптографической защиты доступа к веб-шеллам, уникальной генерации каждого развёртывания и автоматизированного оповещения делает обнаружение стандартными сигнатурными средствами крайне затруднительным. Успешная компрометация даёт атакующему полный контроль над сервером с возможностью длительного скрытного присутствия.
Практические рекомендации
- Аудит IIS-серверов: проведите инвентаризацию всех серверов IIS с доступом из интернета. Идентифицируйте экземпляры на Windows Server 2016 и более ранних версиях, а также с устаревшими версиями .NET Framework.
- Миграция с устаревших платформ: серверы на неподдерживаемом ПО должны быть приоритетно обновлены или выведены из эксплуатации. Если миграция невозможна в краткосрочной перспективе — изолируйте их в отдельный сегмент сети с усиленным мониторингом.
- Мониторинг timestomping: внедрите контроль целостности файлов (FIM) в каталогах веб-приложений IIS. Обращайте внимание на аномалии: файлы с временными метками, совпадающими с медианой окружающих файлов, но не соответствующими журналам создания.
- Контроль процесса w3wp.exe: настройте алерты на создание файлов рабочим процессом IIS в каталогах загрузки, особенно файлов с расширениями .aspx и .ashx.
- DNS-мониторинг: добавьте домен
ashx.lhlsjcb[.]comв списки блокировки и проверьте исторические DNS-логи на наличие обращений к нему. - Обнаружение Potato Suite: отслеживайте характерные паттерны эскалации привилегий через манипуляции с токенами, а также выполнение
whoami /privв контексте процессов IIS. - Пересмотр сигнатурных правил: существующие правила обнаружения, настроенные на известные кластеры (CL-STA-0048, DragonRank, GhostRedirector), предположительно неэффективны против OP-512. Дополните их поведенческими детекциями.
Концентрация нескольких независимых кластеров на серверах IIS за последний год указывает на системную проблему: устаревшие серверы с доступом из интернета остаются привлекательной точкой входа. Приоритетное действие для защитников — немедленная инвентаризация и вывод из эксплуатации или изоляция устаревших экземпляров IIS, дополненная поведенческим мониторингом процесса w3wp.exe и контролем целостности файлов в каталогах веб-приложений.
