**ReliaQuest**のサイバーセキュリティ研究者は、Microsoft Internet Information Services（IIS）サーバーを積極的に標的とする、新興の脅威クラスター「OP-512」（「opponent」の略）を発見しました。このグループは、諜報活動と見られるキャンペーンにおいて、高度にカスタマイズされたWebシェルフレームワークを展開しています。 **ReliaQuest**は、OP-512を中国と中〜高程度の確信度で関連付けており、標的のセクターと地理的範囲が、既知の中国の諜報目標と一致していると指摘しています。これは、過去1年間だけでもIIS Webサーバーを標的とした中国連携の脅威グループとしては4番目の観測となります。 ### 主要な標的としてのIIS：増大するトレンド OP-512の出現は、より広範なトレンドを強調しています。CL-STA-0048、DragonRank、GhostRedirectorといった他の中国関連の攻撃者も、IISサーバーに焦点を当てています。先月、Cisco Talosは、複数の中国語を話すサイバー犯罪グループが、これらのサーバーを侵害するためにBadIISとして知られるマルウェアのバリアントを共有していることさえ明らかにしたと発表しました。さらに、SHADOW-EARTH-053は、IISエクスプロイトを使用して、南アジア、東アジア、東南アジアの政府および防衛セクターを標的としていることが観測されています。 ### カスタムWebシェルフレームワーク OP-512の運用の中核をなすのは、3つの異なるWebシェルで構成されるカスタムWebシェルフレームワークです。このフレームワークは、攻撃者に侵害されたホストへのリモートアクセスを提供すると同時に、検出を回避し、フォレンジック分析を妨害するための高度な技術を採用しています。 注目すべき回避技術の1つは、timestomping（MITRE ATT&CK T1099）です。攻撃者は、Webシェルのアーティファクトの作成および変更タイムスタンプを操作します。これは、周囲のファイルやサブフォルダーをスキャンし、中央値の最終変更タイムスタンプを計算し、その後、自身のタイムスタンプをその値と一致するように上書きすることによって行われます。これにより、Webシェルがシステムに長期間存在していたかのように見せかけ、フォレンジックのタイムラインを複雑にします。  ReliaQuestは、このフレームワークの高度な機能について次のように強調しています。「このフレームワークは、私たちが一緒に見ることはめったにない機能を組み合わせています。各デプロイメントは一意に生成され、アクセスは暗号化制御を通じて攻撃者に制限され、侵害されたサーバーは大規模な集中管理のために自動的に報告します。」 ### 攻撃チェーンの詳細 ReliaQuestが観測した攻撃では、OP-512は、サポート終了となった.NET Framework 4.0を実行するレガシーIISサーバーであるWindows Server 2016を標的としました。証拠は、DNSクエリを別の攻撃者管理ドメインに対して行う、主要なインシデントの約75日前の事前の偵察活動を示唆しています。 その後の攻撃は、「スプリント」と表現される急速な展開を見せました。攻撃者は、Webサーバーのワーカープロセス（w3wp.exe）を利用して、Webシェルの1つをアプリケーションのアップロードディレクトリにドロップしました。このアクションは、DNSクエリまたはフォールバックとしてのHTTPリクエストを使用して、Webシェルの場所を攻撃者管理ドメインに送信するセルフレポートメカニズムをトリガーしました。 「これら3つのWebシェルは、攻撃者にファイル管理、2つの独立したアクセスパスを通じた認証済みコマンド実行、そして侵害の自動報告を、誰かが対応する時間もなく提供しました」と、ReliaQuestの研究者は説明しています。 デプロイメント後、OP-512はPotato Suiteのツールを使用してSYSTEMレベルへの権限昇格を試みました。その後、`whoami /priv`のようなコマンドを実行して、昇格したシステム権限を確認しました。 ### ディフェンダーへの影響 ReliaQuestは、複数の中国連携グループによるIISサーバーの一貫した標的化は偶然ではないと警告しています。「インターネットに公開されている、レガシーでサポートされていないソフトウェアを実行しているIISサーバーは、この脅威エコシステム全体で好まれる侵入経路であり、その勢いが衰える兆候は見られません。」 OP-512を特に懸念させるのは、そのユニークなツールです。他のグループが汎用ツールを再利用する可能性があるのとは異なり、OP-512は、他のクラスターに対して効果的な検出方法を回避するように設計された、専用のフレームワークを採用しています。既知の攻撃者に対する防御を最適化している組織は、OP-512の新しいアプローチに対して脆弱である可能性があります。