Новая китайская шпионская группировка OP-512 использует криптографически уникальные веб-шеллы для атак на устаревшие IIS-серверы

APT

Компания ReliaQuest, специализирующаяся на кибербезопасности, обнаружила ранее неизвестную хакерскую группу, связанную с китайской разведкой. Операция получила обозначение OP-512. Главная особенность этого кластера - применение собственной платформы веб-шеллов, каждый экземпляр которой имеет уникальную криптографическую подпись. Это делает традиционные методы обнаружения на основе сигнатур практически бесполезными. Аналитики пришли к выводу, что OP-512 представляет собой как минимум четвёртую за последний год группу, нацеленную на устаревшие веб-серверы Internet Information Services (IIS) - программную платформу от Microsoft для размещения веб-приложений. Однако её инструментарий заметно сложнее, чем у предшественников.

Описание

Инцидент произошёл в инфраструктуре организации, чья отрасль и географическое расположение соответствуют традиционным приоритетам китайских шпионских операций. Специалисты ReliaQuest в своём отчёте рассказали, что выявить атаку удалось благодаря агентному искусственному интеллекту. Система в автоматическом режиме связала множество на первый взгляд не связанных событий в одну картину вторжения, что при пошаговом анализе заняло бы гораздо больше времени или осталось бы незамеченным. Затем эксперты подтвердили выводы.

Атака развивалась по классическому сценарию, но с высокой скоростью. Злоумышленники получили доступ к серверу, работавшему под управлением Windows Server 2016 с неподдерживаемой версией платформы .NET Framework 4.0. Эта среда исполнения не получает обновлений безопасности с 2016 года. Именно устаревшее приложение на .NET, доступное из интернета, стало точкой входа. Примечательно, что система обнаружения на конечных точках (EDR) фиксировала подозрительную активность на этом же хосте ещё за 75 дней до атаки, включая запросы к другому подконтрольному атакующим домену. Однако тогда инцидент не был остановлен.

Когда атакующие наконец активизировались, всё произошло в считанные минуты. Рабочий процесс веб-сервера (w3wp.exe) записал в каталог загрузки приложения первый из трёх веб-шеллов - вредоносный файл с расширением .aspx, предоставляющий удалённый доступ через браузер. Этот файл обладал функцией автоматического уведомления: при его загрузке шифрованный адрес самого веб-шелла отправлялся на сервер управления через систему доменных имён (DNS - технология, преобразующая доменные имена в IP-адреса). Если DNS-запрос не срабатывал, использовался резервный канал - HTTP-запрос на отдельный командно-контрольный центр (C2 - инфраструктура, через которую злоумышленники отдают команды заражённым системам).

Сразу после этого были развёрнуты два дополнительных командных обработчика с расширением .ashx. Каждый из них требовал аутентификации с помощью асимметричного шифрования RSA и симметричного алгоритма RC4. То есть любой, кто пытался отправить команду, должен был обладать соответствующим криптографическим ключом. Без него перехватить управление или подделать команду невозможно. Ключи для двух обработчиков оказались разными, что говорит о намеренном разделении доступа. Вся платформа создавалась автоматическим генератором: структура кода веб-шеллов одинакова, но имена переменных и методов рандомизируются, а внутрь вставляются "мусорные" комментарии. Из-за этого каждый экземпляр имеет уникальный хэш файла, и антивирусы на основе сигнатур не могут его распознать.

Особую тревогу вызывает способность злоумышленников маскировать время создания файлов. Все три веб-шелла сканируют соседние каталоги, вычисляют медианную дату последнего изменения и подменяют собственные временные метки - так файлы выглядят так, будто находятся на сервере годами. Это называется timestomping (умышленное искажение дат создания или изменения файлов для затруднения расследования).

После установки веб-шеллов атакующие приступили к повышению привилегий. Они загрузили четыре постэксплуатационных набора инструментов прямо в память процесса веб-сервера - ничего не записывалось на диск. Среди них были известные эксплойты из семейства Potato, которые используют встроенные службы Windows для перехода от ограниченной учётной записи к уровню системы. Один из инструментов был опознан в телеметрии как GhostKit - публичной документации по нему нет. Всё это характерно для операций, связываемых с китайскими группами. Интересно, что закодированные команды проверки учётной записи (whoami) полностью совпали с аналогичными командами, ранее замеченными в другой китайской операции против систем ArcGIS. Это указывает на то, что злоумышленники используют общие инструменты или тактические руководства.

На этом этапе сработала поведенческая защита конечной точки: она завершила вредоносный процесс. Однако IIS автоматически перезапускает упавшие рабочие процессы. Поэтому атакующие инструменты загружались снова и снова в течение нескольких минут. Убийство процесса без изоляции хоста привело к бесконечному циклу.

Дополнительную сложность создают скомпилированные динамически подключаемые библиотеки (DLL - файлы, содержащие код, который может использоваться несколькими программами одновременно). Когда веб-сервер впервые обращается к .aspx- или .ashx-файлу, среда .NET автоматически создаёт DLL во временном каталоге компиляции. Эти библиотеки были обнаружены и помещены в карантин только спустя 19 часов. Важно: даже после удаления исходных веб-шеллов скомпилированные DLL остаются на диске. Для полной очистки необходимо отдельно удалять содержимое временных каталогов компиляции.

Исследователи ReliaQuest считают, что OP-512 с высокой вероятностью является новой отдельной группой, а не просто перевооружением одного из известных кластеров. Главное отличие - уровень вложений в кастомные инструменты. Три предыдущие китайские группировки (CL-STA-0048, GhostRedirector, DragonRank) тоже атаковали IIS-серверы, но использовали более примитивные или публично доступные средства. OP-512 демонстрирует совершенно иной подход: каждый веб-шелл уникален, шифрование команд обязательно, а механизм самоуведомления позволяет атакующим узнать о развёртывании без активного сканирования. Такая сложность редко встречается у финансово мотивированных хакеров, но типична для шпионских операций, поддерживаемых государством.

Последствия инцидента могут быть серьёзными. Учитывая, что доступ к серверу был получен за 75 дней до активации, злоумышленники могли наблюдать за сетью, собирать данные о топологии и готовиться к дальнейшему продвижению. Атака не является разовой: шпионские группы работают терпеливо, закрепляясь на месяцы и годы. В данном случае удалось зафиксировать лишь начальную фазу - развёртывание инструментов и попытку повышения привилегий. Но есть серьёзные основания полагать, что полностью остановить вторжение не удалось, и атакующие могли скрыто действовать в сети длительное время.

Для защиты от подобных угроз ReliaQuest рекомендует в первую очередь мигрировать или изолировать серверы с неподдерживаемыми версиями .NET, доступные из интернета. Каталоги загрузки необходимо настроить таким образом, чтобы в них нельзя было исполнять скрипты (особенно .aspx, .ashx). Также критически важно мониторить временные каталоги компиляции ASP.NET: появление новых DLL вне окон развёртывания - точный признак внедрения веб-шеллов. Поведенческий анализ - единственный эффективный метод обнаружения, так как сигнатуры бессильны против уникальных экземпляров вредоносного кода.

Интересно, что все четыре китайские группировки за последний год нацелены именно на IIS-серверы. Это не случайность. Серверы в демилитаризованной зоне (DMZ - сегмент сети, находящийся между интернетом и внутренней инфраструктурой) часто мониторят менее тщательно, чем ядро сети. Они служат идеальной точкой для проникновения во внутренние сети. OP-512 - самая технологически продвинутая среди них. Её инструментарий рассчитан на то, чтобы обойти защиты, работающие против других групп. Специалисты уверены: атаки на устаревшую инфраструктуру IIS будут продолжаться как минимум до 2027 года, пока такие серверы остаются в эксплуатации. Организациям, до сих пор использующим неподдерживаемые версии .NET на публичных хостах, стоит считать этот инцидент прямым сигналом к ускорению модернизации.

Индикаторы компрометации

IPv4

  • 124.156.129.151

IPv4 Port Combinations

  • 140.206.161.227:443
  • 43.160.202.246:8053

Domains

  • ashx.lhlsjcb.com
  • hcgos.com

User-agents

  • python-requests/2.33.0

Комментарии: 0