Das Unternehmen ReliaQuest hat einen bisher unbekannten Bedrohungs-Cluster mit der Bezeichnung OP-512 offengelegt, der auf Microsoft Internet Information Services (IIS)-Server abzielt. Die Gruppe setzt ein speziell entwickeltes Framework aus drei Web-Shells ein, das entfernten Zugriff, Dateiverwaltung und eine automatische Benachrichtigung der Angreifer über neue Kompromittierungen ermöglicht. Das Hauptziel ist Spionage. Besonders gefährdet sind Organisationen, die veraltete IIS-Versionen auf nicht mehr unterstützter Software betreiben, insbesondere Windows Server 2016 mit .NET Framework 4.0.
Technische Details des Frameworks
Den Kern der Operationen von OP-512 bildet ein maßgeschneidertes Framework, das drei Web-Shells mit klarer Aufgabenverteilung umfasst. Nach Angaben der Forschenden ermöglichen sie gemeinsam:
- Verwaltung von Dateien auf dem kompromittierten Host
- Authentifiziertes Ausführen von Befehlen über zwei unabhängige Zugriffspfade
- Automatische Benachrichtigung der Angreifer-Infrastruktur über eine erfolgte Kompromittierung
Jedes Deployment wird den Berichten zufolge individuell generiert, und der Zugriff auf die Web-Shells ist kryptografisch abgesichert – nur der Operator kann mit den installierten Komponenten interagieren. Kompromittierte Server „melden“ sich automatisch bei einer zentralisierten Management-Infrastruktur, was eine Skalierung der Operationen ermöglicht.
Chronologie des beobachteten Angriffs
Im dokumentierten Vorfall war ein veralteter IIS-Server auf Basis von Windows Server 2016 mit .NET Framework 4.0 das Ziel, der keine Sicherheitsupdates mehr erhält. Etwa 75 Tage vor dem eigentlichen Vorfall wurden auf demselben Host DNS-Abfragen zu einer von den Angreifern kontrollierten Domain registriert: ashx.lhlsjcb[.]com.
Einige Wochen später folgte eine schnelle Angriffsphase. Der Angreifer nutzte den IIS-Arbeitsprozess (w3wp.exe), um eine der Web-Shells im Upload-Verzeichnis der Anwendung zu platzieren. Unmittelbar nach dem Deployment wurde der Selbstbenachrichtigungsmechanismus aktiv: Die Web-Shell schickte eine DNS-Abfrage (mit einem HTTP-Request als Fallback-Kanal) und übermittelte dabei ihren Speicherort an die Domain der Angreifer.
Umgehung der Erkennung: fortgeschrittenes timestomping
Das Framework setzt die Technik timestomping (T1099 nach MITRE ATT&CK) mit einer nicht trivialen Implementierung ein. Anstatt beliebige Zeitstempel zu setzen, scannt der Algorithmus alle Dateien und Unterverzeichnisse in der Umgebung der platzierten Web-Shells, berechnet den Median des Zeitstempels der letzten Änderung und überschreibt damit die Erstellungs- und Änderungszeit der Artefakte. Dadurch wirken die Web-Shells so, als wären sie schon lange auf dem Server vorhanden, was Forensik und zeitliche Analyse des Vorfalls erheblich erschwert.
Privilegieneskalation
Nach der Etablierung versuchte OP-512, die Privilegien auf SYSTEM-Level zu erhöhen, und nutzte dazu die Potato Suite – eine Familie bekannter Techniken zur Ausnutzung von Windows-Tokens. Zur Bestätigung der erlangten Rechte wurde der Befehl whoami /priv ausgeführt.
Bedrohungskontext: IIS als systemisches Ziel
Nach Angaben von ReliaQuest ist OP-512 der vierte Bedrohungs-Cluster nach CL-STA-0048, DragonRank und GhostRedirector, der in den vergangenen 12 Monaten gezielt IIS-Server angreift. Die Forschenden stellten dabei keine direkten Überschneidungen im Tooling von OP-512 mit anderen bekannten Gruppen fest, auch wenn eine taktische Nähe zu CL-STA-0048 auffällt. Daraus ergeben sich zwei Hypothesen: Entweder handelt es sich bei OP-512 um einen bestehenden Cluster, der sein Arsenal vollständig erneuert hat, oder um eine eigenständige Gruppe, die vergleichbare Fähigkeiten unabhängig entwickelt hat.
Wichtiger Hinweis: Die Attribution von OP-512 und die Schlussfolgerungen zu einer Verbindung mit einem bestimmten Staat beruhen auf der Einschätzung einer einzelnen Forschungsquelle und sind nicht unabhängig bestätigt. Unabhängig davon verdient die Tatsache, dass sich mehrere Cluster in kurzer Zeit auf dieselbe Technologie konzentrieren, die Aufmerksamkeit von Verteidigern.
Das zentrale Unterscheidungsmerkmal von OP-512 gegenüber verwandten Clustern ist der Verzicht auf Massen-Tooling. Das Framework ist darauf ausgelegt, genau jene Erkennungsmethoden zu umgehen, die gegen die drei anderen Gruppen wirksam sind. Organisationen, deren Schutzmaßnahmen speziell auf die bekannten Cluster zugeschnitten sind, bleiben mutmaßlich gegenüber OP-512 verwundbar.
Auswirkungsbewertung
Besonders gefährdet sind Organisationen, die IIS-Server mit Internetzugang auf veralteten Plattformen betreiben – in erster Linie Windows Server 2016 und frühere Versionen mit nicht mehr unterstützten .NET Framework-Komponenten. Die Kombination aus kryptografisch geschütztem Zugriff auf die Web-Shells, individueller Generierung jedes Deployments und automatisierter Benachrichtigung macht eine Erkennung mit herkömmlichen signaturbasierten Verfahren äußerst schwierig. Eine erfolgreiche Kompromittierung verschafft dem Angreifer die vollständige Kontrolle über den Server mit der Möglichkeit eines langandauernden, verdeckten Zugriffs.
Praktische Empfehlungen
- Audit von IIS-Servern: Führen Sie eine Inventarisierung aller aus dem Internet erreichbaren IIS-Server durch. Identifizieren Sie Instanzen auf Windows Server 2016 und älteren Versionen sowie mit veralteten Versionen von .NET Framework.
- Migration von veralteten Plattformen: Server auf nicht mehr unterstützter Software sollten vorrangig aktualisiert oder außer Betrieb genommen werden. Ist eine Migration kurzfristig nicht möglich, isolieren Sie sie in einem separaten Netzsegment mit verstärktem Monitoring.
- Monitoring von timestomping: Implementieren Sie File Integrity Monitoring (FIM) in den Verzeichnissen von IIS-Webanwendungen. Achten Sie auf Anomalien: Dateien mit Zeitstempeln, die mit dem Median der umgebenden Dateien übereinstimmen, aber nicht den Erstellungsprotokollen entsprechen.
- Überwachung des Prozesses w3wp.exe: Richten Sie Alerts auf die Dateierstellung durch den IIS-Arbeitsprozess in Upload-Verzeichnissen ein, insbesondere für Dateien mit den Endungen .aspx und .ashx.
- DNS-Monitoring: Fügen Sie die Domain
ashx.lhlsjcb[.]comzu Blocklisten hinzu und prüfen Sie historische DNS-Logs auf Zugriffe darauf. - Erkennung von Potato Suite: Überwachen Sie charakteristische Muster der Privilegieneskalation durch Manipulation von Tokens sowie die Ausführung von
whoami /privim Kontext von IIS-Prozessen. - Überprüfung signaturbasierter Regeln: Bestehende Erkennungsregeln, die auf bekannte Cluster (CL-STA-0048, DragonRank, GhostRedirector) ausgerichtet sind, sind mutmaßlich gegen OP-512 nicht wirksam. Ergänzen Sie sie durch verhaltensbasierte Detektionen.
Die Konzentration mehrerer unabhängiger Cluster auf IIS-Server im vergangenen Jahr weist auf ein systemisches Problem hin: Veraltete, aus dem Internet erreichbare Server bleiben ein attraktiver Einstiegspunkt. Die vorrangige Maßnahme für Verteidiger ist eine umgehende Inventarisierung und die Außerbetriebnahme oder Isolierung veralteter IIS-Instanzen, ergänzt durch verhaltensbasiertes Monitoring des Prozesses w3wp.exe und File-Integrity-Kontrollen in den Verzeichnissen der Webanwendungen.
