Cluster Ancaman Baru OP-512 Menargetkan Server Microsoft IIS dengan Kerangka Web Shell Kustom

Perkembangan ini menjadi salah satu sorotan penting dalam perkembangan alat dan strategi keamanan siber. Peneliti keamanan siber telah menemukan kelompok ancaman yang sebelumnya tidak dilaporkan yang dijuluki OP-512 (di mana "OP" berarti "lawan") yang diamati menargetkan server…

Peneliti keamanan siber telah menemukan kelompok ancaman yang sebelumnya tidak dilaporkan yang dijuluki OP-512 (di mana "OP" berarti "lawan") yang diamati menargetkan server Microsoft Internet Information Services (IIS) untuk menerapkan kerangka web shell yang dipesan lebih dahulu.

“OP-512 kemungkinan besar melakukan spionase melalui server web Layanan Informasi Internet (IIS) yang telah disusupi pada sebuah organisasi yang sektor dan geografinya sejalan dengan prioritas intelijen terkait Tiongkok,” kata perusahaan itu dalam sebuah laporan yang dibagikan kepada The Hacker News.

Meskipun tidak ditemukan tumpang tindih antara OP-512 dan musuh-musuh lain yang dikenal selaras dengan Tiongkok, ini adalah kelompok ancaman keempat setelah CL-STA-0048, DragonRank, dan GhostRedirector yang memilih server web IIS selama 12 bulan terakhir. Baru-baru ini pada bulan lalu, Cisco Talos mengungkapkan bahwa beberapa kelompok kejahatan dunia maya berbahasa Tiongkok berbagi varian malware yang disebut BadIIS untuk menginfeksi server IIS.

Server IIS juga telah menjadi sasaran SHADOW-EARTH-053 sebagai bagian dari kampanye spionase baru yang selaras dengan Tiongkok yang menargetkan sektor pemerintah dan pertahanan di Asia Selatan, Timur, dan Tenggara.

Dalam serangan yang diamati oleh perusahaan keamanan siber tersebut, pelaku ancaman ditemukan menargetkan server IIS lama yang menjalankan Windows Server 2016 dengan. NET Framework 4. 0 yang sudah habis masa pakainya. Terdapat bukti aktivitas sebelumnya pada host yang sama, sekitar 75 hari sebelum kejadian utama terjadi. Ini melibatkan permintaan DNS ke domain lain yang dikendalikan penyerang ("ashx. lhlsjcb[.]com").

“Apa yang paling menjadi perhatian para pembela HAM adalah apa yang membuat OP-512 berbeda. Kelompok ancaman ini tidak menggunakan peralatan komoditas dan mendaur ulangnya di seluruh kampanye. Kelompok ini menggunakan kerangka kerja yang dirancang khusus untuk mengalahkan metode deteksi yang bekerja melawan tiga kelompok lainnya. Organisasi yang telah menyesuaikan pertahanan mereka dengan aktor-aktor yang diketahui kemungkinan besar tidak tercakup dalam hal ini.”

Secara keseluruhan, perkembangan ini memberi gambaran tentang arah terbaru di perkembangan alat dan strategi keamanan siber dan alasan mengapa topik ini tetap relevan untuk terus dipantau.

Baca sumber asli dari thehackernews. com