🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética descobriram um cluster de ameaças anteriormente não relatado, chamado OP-512 (onde "OP" significa "oponente") que foi observado visando servidores Microsoft Internet Information Services (IIS) para implantar uma estrutura de web shell personalizada.
A ReliaQuest avaliou com confiança moderada a alta que a atividade focada na espionagem está ligada à China.
“A OP-512 provavelmente estava conduzindo espionagem através de um servidor web comprometido de Serviços de Informações da Internet (IIS) em uma organização cujo setor e geografia se alinham com as prioridades de inteligência ligadas à China”, disse a empresa em um relatório compartilhado com o The Hacker News.
Embora nenhuma sobreposição tenha sido encontrada entre o OP-512 e outros adversários conhecidos alinhados à China, é o quarto grupo de ameaças, depois de CL-STA-0048, DragonRank e GhostRedirector, a destacar servidores web IIS nos últimos 12 meses. Ainda no mês passado, o Cisco Talos revelou que vários grupos de crimes cibernéticos de língua chinesa estão compartilhando uma variante de malware chamada BadIIS para infectar servidores IIS.
Os servidores IIS também foram alvo do SHADOW-EARTH-053 como parte de uma nova campanha de espionagem alinhada com a China, visando setores governamentais e de defesa no Sul, Leste e Sudeste Asiático.
Central para as operações do OP-512 é uma estrutura de web shell personalizada que consiste em três web shells que concedem aos invasores acesso remoto ao host comprometido, ao mesmo tempo em que tomam medidas para evitar a detecção baseada em assinatura e complicar os cronogramas forenses usando técnicas como timestomping para manipular intencionalmente os carimbos de data e hora quando os artefatos do web shell são criados ou modificados.
Especificamente, isso envolve a varredura de todos os arquivos e subpastas em torno de onde os web shells são colocados, calculando o carimbo de data/hora médio da última modificação e substituindo seus próprios tempos de criação e modificação para corresponder a esse valor, dando assim a impressão de que eles estão presentes há algum tempo.
“Essa estrutura combina recursos que raramente vemos juntos: cada implantação é gerada de forma única, o acesso é restrito ao invasor por meio de controles criptográficos e os servidores comprometidos reportam automaticamente para gerenciamento centralizado em escala”, disse ReliaQuest.
OP-512 compartilha proximidade tática com CL-STA-0048, o que levantou a possibilidade de representar um cluster existente que renovou completamente seu conjunto de ferramentas ou desenvolveu essas capacidades de forma independente. Independentemente de suas origens, o grupo de hackers é considerado um cluster distinto que opera de maneira autônoma.
No ataque observado pela empresa de segurança cibernética, descobriu-se que o agente da ameaça tinha como alvo um servidor IIS legado executando o Windows Server 2016 com o .NET Framework 4.0 em fim de vida. Há evidências de atividades anteriores no mesmo host, cerca de 75 dias antes do incidente principal. Isso envolveu consultas DNS para um domínio diferente controlado pelo invasor ("ashx.lhlsjcb[.]com").
A sequência de ações que se desenrolou semanas depois foi descrita como um “sprint”, com o invasor usando o processo de trabalho do servidor web (“w3wp.exe”) para colocar um dos web shells no diretório de upload do aplicativo. Isso, por sua vez, aciona um mecanismo de autorrelato que usa uma consulta DNS ou uma solicitação HTTP como alternativa para transmitir a localização do web shell para um domínio controlado pelo invasor.
“Juntos, os três web shells forneceram ao invasor gerenciamento de arquivos, execução autenticada de comandos por meio de dois caminhos de acesso independentes e relatórios automatizados do comprometimento, tudo antes que alguém tivesse tempo de responder”, explicaram os pesquisadores da ReliaQuest.
Com os web shells implantados, diz-se que o OP-512 tentou escalar privilégios para o nível SYSTEM usando o Potato Suite, seguido pela execução de comandos como “whoami /priv” para confirmar seus direitos de sistema.
“É improvável que quatro clusters ligados à China visando a mesma tecnologia em menos de um ano sejam uma coincidência”, disse ReliaQuest. “Os servidores IIS voltados para a Internet que executam software legado e sem suporte continuam sendo um ponto de entrada preferencial neste ecossistema de ameaças e não mostram sinais de desaceleração.”
"O que mais deveria preocupar os defensores é o que torna o OP-512 diferente. Este cluster de ameaças não usa ferramentas comuns e as recicla em campanhas. Ele usa uma estrutura criada especificamente para derrotar os métodos de detecção que funcionam contra os outros três clusters. As organizações que ajustaram suas defesas para atores conhecidos provavelmente não serão abordadas aqui."
A ReliaQuest avaliou com confiança moderada a alta que a atividade focada na espionagem está ligada à China.
“A OP-512 provavelmente estava conduzindo espionagem através de um servidor web comprometido de Serviços de Informações da Internet (IIS) em uma organização cujo setor e geografia se alinham com as prioridades de inteligência ligadas à China”, disse a empresa em um relatório compartilhado com o The Hacker News.
Embora nenhuma sobreposição tenha sido encontrada entre o OP-512 e outros adversários conhecidos alinhados à China, é o quarto grupo de ameaças, depois de CL-STA-0048, DragonRank e GhostRedirector, a destacar servidores web IIS nos últimos 12 meses. Ainda no mês passado, o Cisco Talos revelou que vários grupos de crimes cibernéticos de língua chinesa estão compartilhando uma variante de malware chamada BadIIS para infectar servidores IIS.
Os servidores IIS também foram alvo do SHADOW-EARTH-053 como parte de uma nova campanha de espionagem alinhada com a China, visando setores governamentais e de defesa no Sul, Leste e Sudeste Asiático.
Central para as operações do OP-512 é uma estrutura de web shell personalizada que consiste em três web shells que concedem aos invasores acesso remoto ao host comprometido, ao mesmo tempo em que tomam medidas para evitar a detecção baseada em assinatura e complicar os cronogramas forenses usando técnicas como timestomping para manipular intencionalmente os carimbos de data e hora quando os artefatos do web shell são criados ou modificados.
Especificamente, isso envolve a varredura de todos os arquivos e subpastas em torno de onde os web shells são colocados, calculando o carimbo de data/hora médio da última modificação e substituindo seus próprios tempos de criação e modificação para corresponder a esse valor, dando assim a impressão de que eles estão presentes há algum tempo.
“Essa estrutura combina recursos que raramente vemos juntos: cada implantação é gerada de forma única, o acesso é restrito ao invasor por meio de controles criptográficos e os servidores comprometidos reportam automaticamente para gerenciamento centralizado em escala”, disse ReliaQuest.
OP-512 compartilha proximidade tática com CL-STA-0048, o que levantou a possibilidade de representar um cluster existente que renovou completamente seu conjunto de ferramentas ou desenvolveu essas capacidades de forma independente. Independentemente de suas origens, o grupo de hackers é considerado um cluster distinto que opera de maneira autônoma.
No ataque observado pela empresa de segurança cibernética, descobriu-se que o agente da ameaça tinha como alvo um servidor IIS legado executando o Windows Server 2016 com o .NET Framework 4.0 em fim de vida. Há evidências de atividades anteriores no mesmo host, cerca de 75 dias antes do incidente principal. Isso envolveu consultas DNS para um domínio diferente controlado pelo invasor ("ashx.lhlsjcb[.]com").
A sequência de ações que se desenrolou semanas depois foi descrita como um “sprint”, com o invasor usando o processo de trabalho do servidor web (“w3wp.exe”) para colocar um dos web shells no diretório de upload do aplicativo. Isso, por sua vez, aciona um mecanismo de autorrelato que usa uma consulta DNS ou uma solicitação HTTP como alternativa para transmitir a localização do web shell para um domínio controlado pelo invasor.
“Juntos, os três web shells forneceram ao invasor gerenciamento de arquivos, execução autenticada de comandos por meio de dois caminhos de acesso independentes e relatórios automatizados do comprometimento, tudo antes que alguém tivesse tempo de responder”, explicaram os pesquisadores da ReliaQuest.
Com os web shells implantados, diz-se que o OP-512 tentou escalar privilégios para o nível SYSTEM usando o Potato Suite, seguido pela execução de comandos como “whoami /priv” para confirmar seus direitos de sistema.
“É improvável que quatro clusters ligados à China visando a mesma tecnologia em menos de um ano sejam uma coincidência”, disse ReliaQuest. “Os servidores IIS voltados para a Internet que executam software legado e sem suporte continuam sendo um ponto de entrada preferencial neste ecossistema de ameaças e não mostram sinais de desaceleração.”
"O que mais deveria preocupar os defensores é o que torna o OP-512 diferente. Este cluster de ameaças não usa ferramentas comuns e as recicla em campanhas. Ele usa uma estrutura criada especificamente para derrotar os métodos de detecção que funcionam contra os outros três clusters. As organizações que ajustaram suas defesas para atores conhecidos provavelmente não serão abordadas aqui."
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #novo #cluster #de #ameaças #op512 #tem #como #alvo #servidores #microsoft #iis #com #estrutura #web #shell #personalizada
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário