Un gruppo di criminali informatici identificato come OP-512 ha preso di mira i server Microsoft IIS. Utilizzano un framework personalizzato di web shell, consentendo agli aggressori di prendere il controllo remoto dei sistemi. L'operazione è caratterizzata dalla sua furtività e dallo sfruttamento di vulnerabilità note nelle applicazioni web. Si raccomanda agli amministratori di rivedere i registri di accesso e aggiornare i propri sistemi per mitigare il rischio di compromissione.
Analisi tecnica del framework di web shell 🛡️
Il framework di OP-512 distribuisce moduli di web shell in linguaggi come ASPX e PowerShell. Questi moduli stabiliscono connessioni crittografate con server di comando e controllo, eludendo i sistemi di rilevamento di base. Una volta dentro, gli aggressori eseguono comandi, esfiltrano dati e distribuiscono carichi aggiuntivi di malware. La modularità del framework consente a OP-512 di adattare i propri attacchi in base alla configurazione del server IIS target, complicando la creazione di firme di rilevamento universali.
La web shell: l'Airbnb dei criminali informatici 🏠
OP-512 ha trovato nelle web shell l'equivalente digitale di lasciare la porta di casa aperta. Solo che qui, invece di occupanti abusivi, entrano script dannosi che si installano come se fossero di famiglia. Gli amministratori si chiedono: qualcuno ha ordinato una pizza? Perché questi aggressori si sono già installati sul server e hanno persino cambiato la password del wifi. La cosa peggiore è che non avvisano quando se ne vanno.