Cybersicherheitsforscher von **ReliaQuest** haben eine neue Bedrohungsgruppe namens **OP-512** aufgedeckt, was für "opponent" steht und aktiv **Microsoft Internet Information Services (IIS)**-Server ins Visier nimmt. Diese Gruppe setzt ein hochgradig angepasstes Web-Shell-Framework ein, das vermutlich für eine Spionagekampagne genutzt wird. **ReliaQuest** ordnet **OP-512** mit moderater bis hoher Sicherheit China zu und stellt fest, dass die Sektoren und geografischen Lagen der Ziele mit bekannten chinesischen Geheimdienstzielen übereinstimmen. Dies ist die vierte mit China in Verbindung stehende Bedrohungsgruppe, die allein im letzten Jahr **IIS**-Webserver ins Visier genommen hat. ### Ein wachsender Trend: IIS als Hauptziel Das Auftauchen von **OP-512** unterstreicht einen breiteren Trend. Andere mit China verbundene Akteure, darunter **CL-STA-0048**, **DragonRank** und **GhostRedirector**, haben sich ebenfalls auf **IIS**-Server konzentriert. Letzten Monat enthüllte **Cisco Talos**, dass mehrere chinesischsprachige Cybercrime-Gruppen sogar eine Variante der **Malware** namens **BadIIS** teilen, um diese Server zu kompromittieren. Darüber hinaus wurde beobachtet, dass **SHADOW-EARTH-053** mit **IIS**-Exploits Regierungs- und Verteidigungssektoren in Süd-, Ost- und Südostasien angreift. ### Das maßgeschneiderte Web-Shell-Framework Im Mittelpunkt der Operationen von **OP-512** steht ein maßgeschneidertes Web-Shell-Framework, das aus drei verschiedenen Web-Shells besteht. Dieses Framework bietet Angreifern Fernzugriff auf kompromittierte Hosts und setzt gleichzeitig hochentwickelte Techniken zur Umgehung von Erkennung und zur Behinderung forensischer Analysen ein. Eine bemerkenswerte Umgehungstechnik ist **Timestomping** (**MITRE ATT&CK T1099**). Die Angreifer manipulieren die Erstellungs- und Änderungszeitstempel ihrer Web-Shell-Artefakte. Sie tun dies, indem sie umliegende Dateien und Unterordner scannen, den mittleren Änderungszeitstempel berechnen und dann ihre eigenen Zeitstempel überschreiben, um diesen Wert anzupassen. Dies lässt die Web-Shells länger auf dem System vorhanden erscheinen und erschwert forensische Zeitachsen.  **ReliaQuest** hebt die fortschrittlichen Fähigkeiten des Frameworks hervor: "Dieses Framework kombiniert Fähigkeiten, die wir selten zusammen sehen: Jede Bereitstellung wird einzigartig generiert, der Zugriff ist für den Angreifer durch kryptografische Kontrollen beschränkt, und kompromittierte Server melden sich automatisch für eine zentralisierte Verwaltung in großem Maßstab." ### Details zur Angriffskette Bei einem von **ReliaQuest** beobachteten Angriff zielte **OP-512** auf einen älteren **IIS**-Server, auf dem **Windows Server 2016** mit einem nicht mehr unterstützten **.NET Framework 4.0** lief. Beweise deuten auf vorherige Aufklärungsaktivitäten etwa 75 Tage vor dem Hauptvorfall hin, einschließlich **DNS**-Abfragen an eine andere vom Angreifer kontrollierte Domain. Der nachfolgende Angriff verlief schnell und wurde als "Sprint" beschrieben. Der Angreifer nutzte den Workerprozess des Webservers (`w3wp.exe`), um eine der Web-Shells in das Upload-Verzeichnis der Anwendung zu schleusen. Diese Aktion löste einen automatischen Melde-Mechanismus aus, der entweder eine **DNS**-Abfrage oder eine **HTTP**-Anfrage als Fallback nutzte, um den Speicherort der Web-Shell an eine vom Angreifer kontrollierte Domain zu übermitteln. "Zusammen gaben die drei Web-Shells dem Angreifer Dateiverwaltung, authentifizierte Befehlsausführung über zwei unabhängige Zugriffspfade und die automatisierte Meldung des Kompromittierung, alles bevor jemand Zeit hatte zu reagieren", erklärten die Forscher von **ReliaQuest**. Nach der Bereitstellung versuchte **OP-512**, die Berechtigungen auf **SYSTEM**-Ebene mithilfe der **Potato Suite** von Tools zu erhöhen. Anschließend führten sie Befehle wie `whoami /priv` aus, um ihre erhöhten Systemrechte zu bestätigen. ### Auswirkungen für Verteidiger **ReliaQuest** warnt, dass die konsequente Ausrichtung auf **IIS**-Server durch mehrere mit China verbundene Gruppen kein Zufall ist. "Internetfähige **IIS**-Server, auf denen ältere, nicht unterstützte Software läuft, bleiben ein bevorzugter Einstiegspunkt in diesem Bedrohungsökosystem und zeigen keine Anzeichen einer Verlangsamung." Was **OP-512** besonders besorgniserregend macht, sind seine einzigartigen Werkzeuge. Im Gegensatz zu anderen Gruppen, die möglicherweise gängige Tools wiederverwenden, setzt **OP-512** ein speziell entwickeltes Framework ein, das darauf ausgelegt ist, Erkennungsmethoden zu umgehen, die gegen andere Cluster wirksam sind. Organisationen, die ihre Abwehrmaßnahmen gegen bekannte Akteure optimiert haben, könnten sich gegen den neuartigen Ansatz von **OP-512** anfällig zeigen.