Chinesischer Cluster OP-512 zielt auf IIS-Server ab, um maßgeschneiderte Web-Shells zu deployen_Weltnachrichten

Chinesischer Cluster OP-512 zielt auf IIS-Server ab, um maßgeschneiderte Web-Shells zu deployen

2026-06-06 11:44

Merken

de.wedoany.com-Bericht: Cybersicherheitsforscher haben einen zuvor nicht gemeldeten Bedrohungscluster OP-512 entdeckt, der auf Microsoft Internet Information Services (IIS)-Server abzielt, um ein maßgeschneidertes Web-Shell-Framework zu deployen. Das Sicherheitsunternehmen ReliaQuest bewertet mit mittlerer bis hoher Zuversicht, dass diese auf Spionage ausgerichtete Angriffskampagne mit China in Verbindung steht.

ReliaQuest gibt in seinem Bericht an, dass OP-512 höchstwahrscheinlich über kompromittierte IIS-Webserver Spionage gegen Organisationen betreibt, deren Branche und geografische Lage mit den Geheimdienstprioritäten Chinas übereinstimmen. Obwohl keine Überschneidungen zwischen OP-512 und anderen bekannten chinesischen Akteuren festgestellt wurden, ist es der vierte Bedrohungscluster innerhalb der letzten zwölf Monate, der sich speziell auf IIS-Webserver konzentriert – nach CL-STA-0048, DragonRank und GhostRedirector. Erst letzten Monat enthüllte Cisco Talos, dass mehrere chinesische Cyberkriminellenbanden eine Malware-Variante namens BadIIS teilen, um IIS-Server zu infizieren. IIS-Server sind auch zum Ziel von SHADOW-EARTH-053 geworden, im Rahmen einer neuen chinesischen Spionagekampagne, die sich gegen Regierungs- und Verteidigungsbehörden in Süd-, Ost- und Südostasien richtet.

Das Kernstück der OP-512-Operation ist ein benutzerdefiniertes Web-Shell-Framework, das drei Web-Shells umfasst. Diese ermöglichen es Angreifern, aus der Ferne auf kompromittierte Hosts zuzugreifen, während gleichzeitig Maßnahmen ergriffen werden, um signaturbasierte Erkennung zu umgehen und durch Techniken wie Timestomping die Zeitstempel bei der Erstellung oder Modifikation von Web-Shell-Artefakten gezielt zu manipulieren, um die forensische Zeitleiste zu verkomplizieren. Konkret scannt der Angreifer jedes Verzeichnis und jede Datei in der Umgebung der Web-Shell, berechnet den aktuellsten Änderungszeitstempel der Zwischenwerte und überschreibt seine eigenen Erstellungs- und Änderungszeiten, um diesen Wert zu treffen, wodurch der Eindruck entsteht, die Artefakte existierten bereits seit einiger Zeit.

ReliaQuest gibt an, dass das Framework Fähigkeiten kombiniert, die selten gemeinsam auftreten: Jede Bereitstellung wird eindeutig generiert, der Zugriff für Angreifer wird durch verschlüsselte Kontrollen eingeschränkt, und kompromittierte Server melden sich automatisch, um eine zentralisierte Verwaltung im großen Maßstab zu ermöglichen. OP-512 ist taktisch sehr nah an CL-STA-0048 und könnte einen bestehenden Cluster darstellen, der sein Toolkit vollständig überarbeitet hat, oder diese Fähigkeiten unabhängig entwickelt haben. Unabhängig von der Quelle handelt es sich bei der Hackergruppe um einen einzigartigen Cluster, der autonom operiert.

In den beobachteten Angriffen zielte der Bedrohungsakteur auf einen älteren IIS-Server ab, der Windows Server 2016 mit dem nicht mehr unterstützten .NET Framework 4.0 ausführte. Es gibt Hinweise darauf, dass derselbe Host etwa 75 Tage vor dem Hauptvorfall bereits Aktivitäten aufwies, die DNS-Abfragen an die vom Angreifer kontrollierte Domain „ashx.lhlsjcb[.]com“ beinhalteten. Eine Reihe von Aktionen einige Wochen später wurde als „Sprint“ beschrieben, bei dem der Angreifer den Arbeitsprozess des Webservers („w3wp.exe“) nutzte, um eine der Web-Shells im Upload-Verzeichnis der Anwendung zu platzieren, wodurch ein Selbstmelde-Mechanismus ausgelöst wurde, der die Position der Web-Shell über DNS-Abfragen oder HTTP-Anfragen an die vom Angreifer kontrollierte Domain übermittelte.

Die drei Web-Shells boten dem Angreifer gemeinsam Dateiverwaltung, authentifizierte Befehlsausführung über zwei separate Zugriffspfade sowie die automatische Meldung des Kompromittierungsstatus. Nach der Bereitstellung der Web-Shell versuchte OP-512, die Berechtigungen mithilfe der Potato Suite auf SYSTEM-Ebene zu erhöhen und führte anschließend Befehle wie „whoami /priv“ aus, um die Systemberechtigungen zu bestätigen.

ReliaQuest weist darauf hin, dass es unwahrscheinlich ist, dass innerhalb von weniger als einem Jahr vier mit China in Verbindung stehende Cluster auf dieselbe Technologie abzielen. Internetzugängliche IIS-Server, die veraltete, nicht unterstützte Software ausführen, bleiben ein beliebter Angriffseinstiegspunkt in diesem Bedrohungsökosystem, und es gibt keine Anzeichen für eine Verlangsamung. Was Verteidiger am meisten beunruhigen sollte, ist der Unterschied von OP-512: Der Bedrohungscluster verwendet keine gängigen Tools, die über mehrere Kampagnen hinweg wiederverwendet werden, sondern ein speziell entwickeltes Framework, das darauf ausgelegt ist, Erkennungsmethoden zu umgehen, die gegen die anderen drei Cluster wirksam waren. Organisationen, die ihre Verteidigung an bekannte Akteure angepasst haben, sind wahrscheinlich nicht ausreichend abgedeckt.

Dieser Artikel wurde von Wedoany übersetzt und bearbeitet. Bei jeglicher Zitierung oder Nutzung durch künstliche Intelligenz (KI) ist die Quellenangabe „Wedoany“ zwingend vorgeschrieben. Sollten Urheberrechtsverletzungen oder andere Probleme vorliegen, bitten wir Sie, uns unverzüglich zu benachrichtigen. Wir werden den entsprechenden Inhalt umgehend anpassen oder löschen.