Um grupo de cibercriminosos identificado como OP-512 colocou os servidores Microsoft IIS na mira. Eles utilizam um framework personalizado de web shells, permitindo que os atacantes assumam o controle remoto dos sistemas. A operação se caracteriza pelo seu sigilo e por explorar vulnerabilidades conhecidas em aplicações web. Recomenda-se que os administradores revisem os registros de acesso e atualizem seus sistemas para mitigar o risco de comprometimento.
Análise técnica do framework de web shells 🛡️
O framework do OP-512 implanta módulos de web shell em linguagens como ASPX e PowerShell. Esses módulos estabelecem conexões criptografadas com servidores de comando e controle, evadindo sistemas de detecção básicos. Uma vez dentro, os atacantes executam comandos, exfiltram dados e implantam cargas adicionais de malware. A modularidade do framework permite que o OP-512 adapte seus ataques conforme a configuração do servidor IIS alvo, o que dificulta a criação de assinaturas de detecção universais.
A web shell: o Airbnb dos cibercriminosos 🏠
O OP-512 encontrou nas web shells o equivalente digital a deixar a porta de casa aberta. Só que aqui, em vez de invasores, entram scripts maliciosos que se instalam como se fossem da família. Os administradores se perguntam: alguém pediu pizza? Porque esses atacantes já se instalaram no servidor e até mudaram a senha do wifi. O pior é que não avisam quando vão embora.