Cercetătorii de la ReliaQuest au dezvăluit un nou grup de amenințări cibernetice, denumit OP-512, care vizează în mod specific serverele Microsoft Internet Information Services (IIS). Atacatorii folosesc un framework personalizat de web shell pentru a menține accesul persistent și a fura date. Conform analizei, activitatea este orientată spre spionaj și are legături moderate spre ridicate cu entități din China.
Ce este OP-512?
OP-512 (prescurtare de la „opponent” – adversar) reprezintă un cluster de amenințări descoperit recent, care folosește tehnici avansate de infiltrare. Atacatorii exploatează vulnerabilități sau configurații greșite ale serverelor IIS pentru a instala un web shell modular, care le permite să execute comenzi, să exfiltreze date și să se deplaseze lateral în rețea.
Mod de operare
Framework-ul de web shell utilizat de OP-512 este construit special pentru a rămâne nedetectat. Acesta include funcții de criptare a traficului, comunicare cu serverele de comandă și control (C2) și capacitatea de a actualiza componentele. ReliaQuest a observat că atacatorii folosesc tehnici de living-off-the-land (LotL) pentru a se camufla în activitățile legitime ale sistemului.
Implicații pentru securitatea cibernetică
Descoperirea OP-512 subliniază importanța protejării serverelor IIS, utilizate pe scară largă în mediile enterprise. Specialiștii recomandă actualizarea la cele mai recente patch-uri, monitorizarea atentă a traficului web și implementarea unor soluții de detectare a comportamentelor anormale. Deși atacurile par să vizeze organizații din domenii strategice, riscul este global.
Concluzie
OP-512 reprezintă o amenințare serioasă, iar companiile care rulează servere IIS ar trebui să își revizuiască măsurile de securitate. Colaborarea între echipele de securitate și utilizarea unor instrumente de tip threat intelligence poate ajuta la identificarea timpurie a acestor atacuri.