Группа киберпреступников, известная как OP-512, нацелилась на серверы Microsoft IIS. Они используют собственную платформу веб-шеллов, позволяющую злоумышленникам удаленно управлять системами. Операция отличается скрытностью и эксплуатацией известных уязвимостей в веб-приложениях. Администраторам рекомендуется проверять журналы доступа и обновлять свои системы, чтобы снизить риск компрометации.
Технический анализ платформы веб-шеллов 🛡️
Платформа OP-512 развертывает модули веб-шеллов на таких языках, как ASPX и PowerShell. Эти модули устанавливают зашифрованные соединения с командными серверами, обходя базовые системы обнаружения. Попав внутрь, злоумышленники выполняют команды, похищают данные и развертывают дополнительные вредоносные нагрузки. Модульность платформы позволяет OP-512 адаптировать свои атаки в зависимости от конфигурации целевого сервера IIS, что усложняет создание универсальных сигнатур обнаружения.
Веб-шелл: Airbnb для киберпреступников 🏠
OP-512 нашел в веб-шеллах цифровой эквивалент оставленной открытой двери дома. Только вместо сквоттеров сюда проникают вредоносные скрипты, которые устанавливаются, как будто они свои. Администраторы задаются вопросом: кто-нибудь заказывал пиццу? Потому что эти злоумышленники уже обосновались на сервере и даже сменили пароль от Wi-Fi. Хуже всего, что они не предупреждают, когда уходят.