fr.wedoany.com Rapport : Des chercheurs en cybersécurité ont découvert un cluster de menaces jusqu'alors non signalé, OP-512, qui cible les serveurs Microsoft Internet Information Services (IIS) pour déployer un framework de Web Shell sur mesure. La société de sécurité ReliaQuest évalue, avec un niveau de confiance moyen à élevé, que cette campagne d'espionnage est liée à la Chine.

Dans son rapport, ReliaQuest indique qu'OP-512 mène très probablement des activités d'espionnage contre des organisations via des serveurs Web IIS compromis, dont le secteur d'activité et la situation géographique correspondent aux priorités de renseignement de la Chine. Bien qu'aucun chevauchement n'ait encore été identifié entre OP-512 et d'autres adversaires connus liés à la Chine, il s'agit du quatrième groupe de menaces ciblant spécifiquement les serveurs IIS au cours des douze derniers mois, après CL-STA-0048, DragonRank et GhostRedirector. Le mois dernier encore, Cisco Talos a révélé que plusieurs gangs de cybercriminels chinois partageaient une variante de malware appelée BadIIS pour infecter les serveurs IIS. Les serveurs IIS sont également devenus la cible de SHADOW-EARTH-053, dans le cadre d'une nouvelle campagne d'espionnage liée à la Chine visant les secteurs gouvernementaux et de la défense en Asie du Sud, de l'Est et du Sud-Est.

Au cœur de l'opération OP-512 se trouve un framework de Web Shell personnalisé comprenant trois Web Shell, permettant aux attaquants d'accéder à distance aux hôtes compromis tout en prenant des mesures pour contourner les détections basées sur les signatures et en manipulant délibérément les horodatages de création ou de modification des artefacts Web Shell via des techniques telles que le timestomping, compliquant ainsi la chronologie médico-légale. Plus précisément, les attaquants analysent chaque fichier et sous-dossier autour de l'emplacement du Web Shell, calculent l'horodatage de modification le plus récent des valeurs intermédiaires et écrasent leurs propres horodatages de création et de modification pour correspondre à cette valeur, donnant ainsi l'impression qu'ils existent depuis un certain temps.

ReliaQuest indique que le framework combine des capacités rarement observées ensemble : chaque déploiement est généré de manière unique, l'accès des attaquants est limité par des contrôles de chiffrement, et les serveurs compromis se signalent automatiquement pour permettre une gestion centralisée à grande échelle. OP-512 est tactiquement très proche de CL-STA-0048 et pourrait représenter un cluster existant ayant complètement retravaillé sa boîte à outils, ou avoir développé ces capacités de manière indépendante. Quelle que soit son origine, ce groupe de pirates est un cluster distinct fonctionnant de manière autonome.

Dans les attaques observées, les acteurs de la menace ont ciblé un serveur IIS obsolète exécutant Windows Server 2016 et utilisant .NET Framework 4.0, qui n'est plus pris en charge. Les preuves suggèrent que le même hôte avait déjà été actif environ 75 jours avant l'incident principal, impliquant des requêtes DNS vers le domaine contrôlé par les attaquants « ashx.lhlsjcb[.]com ». Une série d'actions survenues quelques semaines plus tard a été décrite comme un « sprint », au cours duquel les attaquants ont utilisé le processus de travail du serveur Web (« w3wp.exe ») pour placer l'un des Web Shells dans le répertoire de téléchargement de l'application, déclenchant un mécanisme d'auto-signalement qui transmettait l'emplacement du Web Shell au domaine contrôlé par les attaquants via une requête DNS ou HTTP.

Les trois Web Shell fournissaient ensemble aux attaquants une gestion des fichiers, une exécution de commandes avec authentification via deux chemins d'accès indépendants, et un signalement automatique des compromissions. Après avoir déployé les Web Shells, OP-512 a tenté d'élever ses privilèges au niveau SYSTEM à l'aide de Potato Suite, puis a exécuté des commandes telles que « whoami /priv » pour confirmer les privilèges système.

ReliaQuest souligne qu'il est peu probable que quatre clusters liés à la Chine ciblent la même technologie en moins d'un an. Les serveurs IIS exposés à Internet exécutant des logiciels obsolètes et non pris en charge restent un point d'entrée privilégié pour les attaques dans cet écosystème de menaces, et cela ne montre aucun signe de ralentissement. Ce qui devrait le plus inquiéter les défenseurs, c'est ce qui distingue OP-512 : ce cluster de menaces n'utilise pas d'outils génériques réutilisés au fil de multiples campagnes, mais un framework spécialement conçu pour contourner les méthodes de détection efficaces contre les trois autres clusters. Les organisations qui ont adapté leurs défenses en fonction des acteurs connus n'ont probablement pas couvert ce cas.

Texte compilé par Wedoany. Toute citation par IA doit mentionner la source « Wedoany ». En cas de contrefaçon ou d'autre problème, veuillez nous en informer rapidement ; nous modifierons ou supprimerons le contenu le cas échéant. Courriel : news@wedoany.com