Компанія ReliaQuest розкрила раніше невідомий кластер загроз під позначенням OP-512, націлений на сервери Microsoft Internet Information Services (IIS). Групування застосовує спеціально розроблений фреймворк із трьох вебшелів, що забезпечує віддалений доступ, керування файлами та автоматичне сповіщення зловмисників про нові компрометації. Основна мета — шпигунство. Найбільшому ризику піддаються організації, які експлуатують застарілі версії IIS на програмному забезпеченні, що не підтримується, зокрема Windows Server 2016 з .NET Framework 4.0.
Технічні деталі фреймворку
Ядро операцій OP-512 становить кастомний фреймворк, що включає три вебшели з розподілом функцій. За даними дослідників, разом вони забезпечують:
- Керування файлами на скомпрометованому хості
- Автентифіковане виконання команд через два незалежні шляхи доступу
- Автоматичне сповіщення атакувальної інфраструктури про факт компрометації
Кожне розгортання, за повідомленнями, генерується унікально, а доступ до вебшелів обмежений криптографічними засобами — взаємодіяти з установленими компонентами може лише оператор. Скомпрометовані сервери автоматично «відзвітують» перед централізованою інфраструктурою керування, що дає змогу масштабувати операції.
Хронологія зафіксованої атаки
У зафіксованому інциденті ціллю став застарілий сервер IIS на базі Windows Server 2016 з .NET Framework 4.0, який уже не отримує оновлень безпеки. Приблизно за 75 днів до основного інциденту на тому ж хості були зафіксовані DNS-запити до домену, контрольованого зловмисниками: ashx.lhlsjcb[.]com.
За кілька тижнів розпочалася стрімка фаза атаки. Зловмисник використав робочий процес IIS (w3wp.exe) для розміщення одного з вебшелів у каталозі завантаження застосунку. Одразу після розгортання спрацював механізм самооповіщення: вебшел відправив DNS-запит (з HTTP-запитом як резервним каналом), передаючи своє розташування на домен атакувальників.
Ухилення від виявлення: просунутий timestomping
Фреймворк застосовує техніку timestomping (T1099 за MITRE ATT&CK) з нетривіальною реалізацією. Замість встановлення довільних часових міток алгоритм сканує всі файли та підкаталоги в оточенні розміщених вебшелів, обчислює медіанне значення мітки часу останньої зміни та перезаписує час створення й модифікації артефактів цим значенням. У результаті вебшели виглядають так, ніби тривалий час існували на сервері, що суттєво ускладнює цифрову форензіку й хронологічний аналіз інциденту.
Ескалація привілеїв
Після закріплення OP-512 здійснив спробу підвищення привілеїв до рівня SYSTEM із використанням Potato Suite — сімейства відомих технік експлуатації токенів Windows. Для підтвердження отриманих прав виконувалася команда whoami /priv.
Контекст загрози: IIS як системна ціль
OP-512 став, за даними ReliaQuest, четвертим кластером загроз після CL-STA-0048, DragonRank та GhostRedirector, який цілеспрямовано атакує сервери IIS за останні 12 місяців. Водночас дослідники не виявили прямих перетинів інструментарію OP-512 з іншими відомими групуваннями, хоча відзначається тактична близькість до CL-STA-0048. Це породжує дві гіпотези: або OP-512 є наявним кластером, що повністю оновив свій арсенал, або це самостійна група, яка незалежно розробила подібні можливості.
Важлива застережна примітка: атрибуція OP-512 та висновки щодо зв’язку з конкретною державою ґрунтуються на оцінці єдиного дослідницького джерела й не підтверджені незалежно. Втім, сам факт концентрації кількох кластерів на одній технології за короткий період заслуговує на увагу захисників.
Ключова відмінність OP-512 від суміжних кластерів — відмова від масового інструментарію. Фреймворк спроєктований так, щоб обходити саме ті методи виявлення, які ефективні проти інших трьох груп. Організації, які налаштували захист під відомі кластери, імовірно залишаються вразливими перед OP-512.
Оцінка впливу
Найбільшому ризику піддаються організації, що експлуатують сервери IIS з доступом з інтернету на застарілих платформах — передусім Windows Server 2016 та більш ранніх версіях з непідтримуваними компонентами .NET Framework. Поєднання криптографічного захисту доступу до вебшелів, унікальної генерації кожного розгортання й автоматизованого оповіщення робить виявлення стандартними сигнатурними засобами вкрай складним. Успішна компрометація надає зловмиснику повний контроль над сервером із можливістю тривалого прихованого перебування.
Практичні рекомендації
- Аудит IIS-серверів: проведіть інвентаризацію всіх серверів IIS з доступом з інтернету. Визначте екземпляри на Windows Server 2016 і раніших версіях, а також із застарілими версіями .NET Framework.
- Міграція з застарілих платформ: сервери на програмному забезпеченні, яке не підтримується, слід у пріоритетному порядку оновити або вивести з експлуатації. Якщо міграція неможлива в короткостроковій перспективі — ізолюйте їх в окремий сегмент мережі з посиленим моніторингом.
- Моніторинг timestomping: впровадьте контроль цілісності файлів (FIM) у каталогах вебзастосунків IIS. Звертайте увагу на аномалії: файли з часовими мітками, що збігаються з медіаною оточуючих файлів, але не відповідають журналам створення.
- Контроль процесу w3wp.exe: налаштуйте сповіщення про створення файлів робочим процесом IIS у каталогах завантаження, особливо файлів із розширеннями .aspx та .ashx.
- DNS-моніторинг: додайте домен
ashx.lhlsjcb[.]comдо списків блокування та перевірте історичні DNS-логи на наявність звернень до нього. - Виявлення Potato Suite: відстежуйте характерні шаблони ескалації привілеїв через маніпуляції з токенами, а також виконання
whoami /privу контексті процесів IIS. - Перегляд сигнатурних правил: наявні правила виявлення, налаштовані на відомі кластери (CL-STA-0048, DragonRank, GhostRedirector), імовірно неефективні проти OP-512. Доповніть їх поведінковими детекціями.
Концентрація кількох незалежних кластерів на серверах IIS за останній рік вказує на системну проблему: застарілі сервери з доступом з інтернету залишаються привабливою точкою входу. Пріоритетна дія для захисників — негайна інвентаризація та виведення з експлуатації або ізоляція застарілих екземплярів IIS, доповнена поведінковим моніторингом процесу w3wp.exe та контролем цілісності файлів у каталогах вебзастосунків.
