Thought Leadership
Die Cyberspionage-Gruppe OP-512 greift gezielt Microsoft IIS-Webserver an und nutzt ein maßgeschneidertes Web-Shell-Framework zur Tarnung.
Sicherheitsforscher haben eine bislang unbekannte Bedrohungsgruppe identifiziert, die unter der Bezeichnung OP-512 geführt wird. Das IT-Sicherheitsunternehmen ReliaQuest ordnet die Spionageaktivitäten mit mittlerer bis hoher Wahrscheinlichkeit staatlichen Akteuren aus China zu. Die Angreifer nehmen gezielt Microsoft Internet Information Services, kurz IIS-Webserver, ins Visier.
Das Unternehmen teilte hierzu mit: „OP-512 führte höchstwahrscheinlich Spionage über einen kompromittierten Internet Information Services (IIS) Webserver bei einer Organisation durch, deren Sektor und Geografie mit den mit China verknüpften Geheimdienstprioritäten übereinstimmen.“ OP-512 ist bereits die vierte Gruppierung mit mutmaßlichem China-Bezug innerhalb von zwölf Monaten, die gezielt IIS-Infrastrukturen attackiert, neben den Clustern CL-STA-0048, DragonRank und GhostRedirector.
Maßgeschneiderte Microsoft-Web-Shell-Frameworks
Im Zentrum der Operationen steht ein proprietäres Schadsoftware-Framework, das aus drei spezifischen Web-Shells besteht. Diese gewähren den Angreifern dauerhaften Fernzugriff auf die kompromittierten Systeme. Um eine signaturbasierte Erkennung durch Sicherheitssysteme zu verhindern und die forensische Aufarbeitung zu erschweren, nutzt die Gruppe die Methode des sogenannten Timestomping. Dabei scannt die Schadsoftware alle Dateien und Unterordner in der Umgebung des Ablageortes, berechnet den Median des letzten Änderungsdatums und überschreibt die eigenen Erstellungs- und Änderungszeitstempel mit diesem Wert.
„Dieses Framework kombiniert Fähigkeiten, die wir selten zusammen sehen: Jede Bereitstellung wird auf einzigartige Weise generiert, der Zugriff ist über kryptografische Kontrollen auf den Angreifer beschränkt und kompromittierte Server melden sich automatisch für eine zentralisierte Verwaltung in großem Maßstab zurück.“
ReliaQuest
Hacker bekamen Dateiverwaltung und Befehlsausführung
Bei einem dokumentierten Angriff attackierte die Gruppe einen veralteten IIS-Server unter Windows Server 2016 mit dem nicht mehr unterstützten .NET Framework 4.0. Die Angreifer nutzten den regulären Arbeitsprozess des Webservers namens w3wp.exe, um eine der Web-Shells im Upload-Verzeichnis der Anwendung zu platzieren. Unmittelbar nach der Platzierung löste das System einen automatischen Rückmeldemechanismus aus, der den genauen Pfad der Web-Shell über eine DNS-Abfrage oder eine HTTP-Anfrage an einen von den Angreifern kontrollierten Server übermittelte.
Die Forscher führten aus: „Zusammen gaben die drei Web-Shells dem Angreifer Dateiverwaltung, authentifizierte Befehlsausführung über zwei unabhängige Zugriffpfade und eine automatisierte Meldung der Kompromittierung, noch bevor jemand Zeit hatte zu reagieren.“ Nach der erfolgreichen Etablierung versuchte OP-512, die Systemrechte mithilfe der sogenannten Potato Suite auf das administrative Niveau SYSTEM anzuheben, was anschließend mit dem Befehl whoami /priv überprüft wurde.
(red)
