أخبار ar.wedoany.com، اكتشف باحثون في مجال الأمن السيبراني مجموعة تهديد غير مبلغ عنها سابقًا تُعرف باسم OP-512، والتي تستهدف خوادم خدمات معلومات الإنترنت (IIS) من مايكروسوفت بهدف نشر أطر عمل ويب شيل مخصصة. وتقيم شركة الأمن ReliaQuest بثقة متوسطة إلى عالية أن هذا الهجوم، الذي يركز على أنشطة التجسس، مرتبط بالصين.

أشارت ReliaQuest في تقريرها إلى أن OP-512 من المرجح جدًا أن تقوم بأنشطة تجسس ضد المؤسسات عبر خوادم ويب IIS المخترقة، حيث تتوافق القطاعات والمواقع الجغرافية لهذه المؤسسات مع الأولويات الاستخباراتية الصينية. على الرغم من عدم العثور على تداخل بين OP-512 وجهات فاعلة صينية معروفة أخرى، إلا أنها تمثل رابع مجموعة تهديد تستهدف خوادم IIS على وجه التحديد خلال الـ 12 شهرًا الماضية، بعد CL-STA-0048 وDragonRank وGhostRedirector. ففي الشهر الماضي فقط، كشفت Cisco Talos عن مشاركة عدة عصابات إجرامية صينية لمتغيرات برمجيات خبيثة تُعرف باسم BadIIS لاختراق خوادم IIS. كما أصبحت خوادم IIS هدفًا لـ SHADOW-EARTH-053 كجزء من حملة تجسس صينية جديدة تستهدف القطاعات الحكومية والدفاعية في جنوب آسيا وشرق آسيا وجنوب شرق آسيا.

يتمثل جوهر عملية OP-512 في إطار عمل ويب شيل مخصص يحتوي على ثلاثة ويب شيل، مما يمكّن المهاجمين من الوصول عن بُعد إلى المضيف المخترق، مع اتخاذ إجراءات لتجنب الكشف القائم على التوقيعات، والتلاعب المتعمد بطوابع الوقت (timestomping) عند إنشاء أو تعديل قطع ويب شيل، مما يعقد الجدول الزمني للتحقيق الجنائي. على وجه التحديد، يقوم المهاجمون بمسح كل ملف ومجلد فرعي حول موقع ويب شيل، وحساب أحدث طابع زمني للتعديل للقيم الوسيطة، ثم استبدال أوقات الإنشاء والتعديل الخاصة بهم لتطابق تلك القيمة، مما يعطي انطباعًا بوجودها لفترة من الزمن.

صرحت ReliaQuest بأن الإطار يجمع بين قدرات نادرًا ما تظهر معًا: فكل عملية نشر يتم إنشاؤها بشكل فريد، ويتم تقييد وصول المهاجمين عبر ضوابط تشفير، كما تقوم الخوادم المخترقة بالإبلاغ الذاتي لتمكين الإدارة المركزية على نطاق واسع. تتشابه OP-512 بشكل كبير من الناحية التكتيكية مع CL-STA-0048، وقد تمثل مجموعة موجودة أعادت هيكلة مجموعة أدواتها بالكامل، أو طورت هذه القدرات بشكل مستقل. وبغض النظر عن المصدر، فإن هذه الجماعة الإجرامية الإلكترونية هي مجموعة فريدة تعمل بطريقة مستقلة.

في الهجمات التي تم رصدها، استهدف الفاعل التهديدي خادم IIS قديمًا يعمل بنظام Windows Server 2016 ويستخدم إطار عمل .NET Framework 4.0 غير المدعوم. تشير الأدلة إلى أن نفس المضيف شهد نشاطًا قبل حوالي 75 يومًا من الحادث الرئيسي، تضمن استعلامات DNS للنطاق "ashx.lhlsjcb[.]com" الذي يسيطر عليه المهاجمون. بعد عدة أسابيع، وقعت سلسلة من الإجراءات وُصفت بأنها "اندفاعة"، حيث استغل المهاجمون عملية عمل خادم الويب ("w3wp.exe") لوضع أحد ويب شيل في دليل التحميل الخاص بالتطبيق، مما أدى إلى تفعيل آلية الإبلاغ الذاتي التي تنقل موقع ويب شيل إلى النطاق الذي يسيطر عليه المهاجمون عبر استعلامات DNS أو طلبات HTTP.

توفر ويب شيل الثلاثة معًا للمهاجمين إدارة الملفات، وتنفيذ الأوامر مع المصادقة عبر مسارين وصول مستقلين، والإبلاغ التلقائي عن حالة الاختراق. بعد نشر ويب شيل، حاولت OP-512 رفع صلاحياتها إلى مستوى SYSTEM باستخدام Potato Suite، ثم نفذت أوامر مثل "whoami /priv" لتأكيد صلاحيات النظام.

أشارت ReliaQuest إلى أنه من غير المرجح أن تكون مصادفة أن تستهدف أربع مجموعات مرتبطة بالصين نفس التقنية في أقل من عام. لا تزال خوادم IIS المتصلة بالإنترنت والتي تعمل ببرامج قديمة وغير مدعومة نقطة دخول شائعة وجذابة في هذا النظام البيئي للتهديدات، ولا تظهر أي علامات على التباطؤ. ما يجب أن يقلق المدافعين أكثر هو ما يميز OP-512: فهذه المجموعة لم تستخدم أدوات عامة وأعادت استخدامها عبر جولات متعددة، بل استخدمت إطار عمل مصممًا خصيصًا بهدف التغلب على طرق الكشف الفعالة ضد المجموعات الثلاث الأخرى. من المرجح أن المؤسسات التي عدلت دفاعاتها بناءً على الفاعلين المعروفين لم تغطِ هذا التهديد.

تم إعداد هذا المقال بواسطة Wedoany. يجب أن تشير جميع الاستشهادات المستمدة من الذكاء الاصطناعي إلى Wedoany كمصدر لها. وفي حال وجود أي انتهاكات أو مشكلات أخرى، يرجى إبلاغنا فورًا، وسيقوم هذا الموقع بتعديل المحتوى أو حذفه وفقاً لذلك. البريد الإلكتروني: news@wedoany.com