Productos FTTH

Tienda FFTH desde 2004

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Nuevo grupo de amenazas OP-512 ataca servidores Microsoft IIS con un framework de web shell personalizado


Investigadores descubrieron a OP-512, un grupo de ciberespionaje vinculado a China que ataca servidores Microsoft IIS mediante un marco de web shells personalizado. Esta amenaza utiliza técnicas avanzadas para evadir detecciones y manipular marcas de tiempo, facilitando el acceso remoto y la gestión centralizada de servidores comprometidos. El ataque se centra especialmente en sistemas heredados y software sin soporte, representando un riesgo crítico para organizaciones con defensas basadas en patrones conocidos.





Investigadores de ciberseguridad han descubierto un grupo de amenazas no reportado previamente, denominado OP-512, que ha sido observado atacando servidores de Microsoft Internet Information Services (IIS) para desplegar un marco de trabajo de web shell personalizado.

ReliaQuest ha evaluado con una confianza de moderada a alta que esta actividad enfocada en el espionaje está vinculada a China.

"Es muy probable que OP-512 estuviera realizando espionaje a través de un servidor web de Internet Information Services (IIS) comprometido en una organización cuyo sector y geografía se alinean con las prioridades de inteligencia vinculadas a China", afirmó la empresa en un informe.

Aunque no se han encontrado coincidencias entre OP-512 y otros adversarios conocidos alineados con China, es el cuarto grupo de amenazas en los últimos 12 meses que selecciona específicamente los servidores web IIS. El mes pasado, Cisco Talos reveló que múltiples grupos de cibercrimen de habla china están compartiendo una variante de malware llamada BadIIS para infectar servidores IIS.

Los servidores IIS también han sido objetivo de SHADOW-EARTH-053 como parte de una nueva campaña de espionaje alineada con China dirigida a los sectores gubernamentales y de defensa en el sur, este y sudeste de Asia.

El núcleo de las operaciones de OP-512 es un marco de web shell personalizado que consta de tres web shells que otorgan a los atacantes acceso remoto al host comprometido, mientras toman medidas para evadir la detección basada en firmas y complicar las líneas temporales forenses mediante técnicas como el timestomping para manipular intencionadamente las marcas de tiempo cuando se crean o modifican los artefactos de la web shell.

Específicamente, esto implica escanear cada archivo y subcarpeta alrededor de donde se colocan las web shells, calcular la marca de tiempo de última modificación mediana y sobrescribir sus propios tiempos de creación y modificación para coincidir con ese valor, dando así la impresión de que han estado presentes durante algún tiempo.



"Este marco combina capacidades que rara vez vemos juntas: cada despliegue se genera de forma única, el acceso está restringido al atacante mediante controles criptográficos y los servidores comprometidos informan automáticamente para una gestión centralizada a escala", señaló ReliaQuest.

OP-512 comparte una proximidad táctica cercana con CL-STA-0048, lo que ha planteado la posibilidad de que represente un grupo existente que ha renovado completamente su conjunto de herramientas o que haya desarrollado estas capacidades de forma independiente. Independientemente de sus orígenes, se dice que el grupo de hackers es un clúster distinto que opera de manera autónoma.

En el ataque observado por la empresa de ciberseguridad, se ha descubierto que el actor de la amenaza apunta a un servidor IIS antiguo que ejecuta Windows Server 2016 con .NET Framework 4.0 al final de su vida útil. Hay evidencia de actividad previa en el mismo host, unos 75 días antes de que ocurriera el incidente principal, que involucró consultas DNS a un dominio diferente controlado por el atacante ("ashx.lhlsjcb[.]com").

La secuencia de acciones que se desarrolló semanas después ha sido descrita como un "sprint", donde el atacante utilizó el proceso de trabajo del servidor web ("w3wp.exe") para depositar una de las web shells en el directorio de carga de la aplicación. Esto, a su vez, activa un mecanismo de auto-reporte que utiliza una consulta DNS o una solicitud HTTP como alternativa para transmitir la ubicación de la web shell a un dominio controlado por el atacante.

"Juntas, las tres web shells le dieron al atacante gestión de archivos, ejecución de comandos autenticada a través de dos rutas de acceso independientes y reporte automatizado del compromiso, todo antes de que alguien tuviera tiempo de responder", explicaron los investigadores de ReliaQuest.

Con las web shells desplegadas, se dice que OP-512 intentó escalar privilegios al nivel de SYSTEM utilizando la Potato Suite, seguido de la ejecución de comandos como "whoami /priv" para confirmar sus derechos de sistema.

"Que cuatro clústeres vinculados a China ataquen la misma tecnología en menos de un año no parece ser una coincidencia", afirmó ReliaQuest. "Los servidores IIS expuestos a Internet que ejecutan software antiguo y sin soporte siguen siendo un punto de entrada preferido en este ecosistema de amenazas".

"Lo que más debería preocupar a los defensores es lo que hace que OP-512 sea diferente. Este grupo de amenazas no está utilizando herramientas genéricas ni reciclándolas en diversas campañas. Está utilizando un marco construido específicamente para derrotar los métodos de detección que funcionan contra los otros tres grupos. Es probable que las organizaciones que han ajustado sus defensas para actores conocidos no estén cubiertas aquí".

Fuente:
THN


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.