Un groupe de cybercriminels identifié sous le nom d'OP-512 a ciblé les serveurs Microsoft IIS. Ils utilisent un framework personnalisé de web shells, permettant aux attaquants de prendre le contrôle à distance des systèmes. L'opération se caractérise par sa discrétion et par l'exploitation de vulnérabilités connues dans les applications web. Il est recommandé aux administrateurs de vérifier les journaux d'accès et de mettre à jour leurs systèmes pour atténuer le risque de compromission.
Analyse technique du framework de web shells 🛡️
Le framework d'OP-512 déploie des modules de web shell dans des langages tels que ASPX et PowerShell. Ces modules établissent des connexions chiffrées avec des serveurs de commande et de contrôle, contournant les systèmes de détection de base. Une fois à l'intérieur, les attaquants exécutent des commandes, exfiltrent des données et déploient des charges utiles supplémentaires de malware. La modularité du framework permet à OP-512 d'adapter ses attaques en fonction de la configuration du serveur IIS cible, ce qui complique la création de signatures de détection universelles.
La web shell : l'Airbnb des cybercriminels 🏠
OP-512 a trouvé dans les web shells l'équivalent numérique de laisser la porte de la maison ouverte. Sauf qu'ici, au lieu de squatteurs, ce sont des scripts malveillants qui s'installent comme s'ils faisaient partie de la famille. Les administrateurs se demandent : quelqu'un a commandé une pizza ? Parce que ces attaquants se sont déjà installés sur le serveur et ont même changé le mot de passe du wifi. Le pire, c'est qu'ils ne préviennent pas quand ils partent.