OP-512として特定されたサイバー犯罪者グループが、Microsoft IISサーバーを標的にしています。彼らはカスタムメイドのWebシェルフレームワークを使用し、攻撃者がシステムをリモート制御できるようにします。この作戦は、そのステルス性と、Webアプリケーションの既知の脆弱性を悪用する点が特徴です。管理者は、アクセスログを確認し、システムを更新して侵害リスクを軽減することを推奨します。
Webシェルフレームワークの技術的分析 🛡️
OP-512のフレームワークは、ASPXやPowerShellなどの言語でWebシェルモジュールを展開します。これらのモジュールは、指揮統制サーバーとの暗号化された接続を確立し、基本的な検出システムを回避します。侵入後、攻撃者はコマンドを実行し、データを窃取し、追加のマルウェアペイロードを展開します。フレームワークのモジュール性により、OP-512は標的のIISサーバー構成に応じて攻撃を適応させることができ、普遍的な検出シグネチャの作成を困難にしています。
Webシェル:サイバー犯罪者のAirbnb 🏠
OP-512は、Webシェルの中に、家のドアを開け放しにしておくことに相当するデジタルなものを見出しました。ただし、ここでは不法占拠者の代わりに、まるで家族の一員であるかのようにインストールされる悪意のあるスクリプトが入り込みます。管理者は疑問に思います:誰かピザを注文した?なぜなら、これらの攻撃者はすでにサーバーに居座り、Wi-Fiのパスワードまで変更しているからです。最悪なのは、彼らが去るときに知らせてくれないことです。