OP-512로 식별된 사이버 범죄자 그룹이 Microsoft IIS 서버를 표적으로 삼고 있습니다. 이들은 맞춤형 웹 셸 프레임워크를 사용하여 공격자가 시스템을 원격으로 제어할 수 있도록 합니다. 이 작전은 은밀함과 웹 애플리케이션의 알려진 취약점을 악용하는 것이 특징입니다. 관리자는 액세스 로그를 검토하고 시스템을 업데이트하여 침해 위험을 완화하는 것이 좋습니다.
웹 셸 프레임워크의 기술적 분석 🛡️
OP-512의 프레임워크는 ASPX 및 PowerShell과 같은 언어로 웹 셸 모듈을 배포합니다. 이러한 모듈은 명령 및 제어 서버와 암호화된 연결을 설정하여 기본 탐지 시스템을 회피합니다. 일단 침투하면 공격자는 명령을 실행하고, 데이터를 유출하며, 추가 악성코드 페이로드를 배포합니다. 프레임워크의 모듈성 덕분에 OP-512는 대상 IIS 서버 구성에 따라 공격을 조정할 수 있어 보편적인 탐지 시그니처 생성이 어렵습니다.
웹 셸: 사이버 범죄자의 에어비앤비 🏠
OP-512는 웹 셸에서 집 문을 활짝 열어두는 것과 같은 디지털적 동등물을 발견했습니다. 다만 여기서는 불법 점유자 대신, 마치 가족인 것처럼 설치되는 악성 스크립트가 들어옵니다. 관리자들은 묻습니다: 누가 피자 시켰어요? 이 공격자들은 이미 서버에 자리 잡고 와이파이 비밀번호까지 바꿔놨기 때문입니다. 최악의 경우, 그들은 떠날 때도 알리지 않습니다.