Một nhóm tấn công mới nổi, được cho là có liên hệ với Trung Quốc, đã bị phát hiện nhắm mục tiêu vào các máy chủ web Internet Information Services (IIS) bằng một framework web shell tùy chỉnh. Nhóm này được theo dõi với tên gọi OP-512 và nổi bật với việc triển khai các công cụ được thiết kế để né tránh các phương pháp phát hiện phổ biến mà các tác nhân tương tự ở Trung Quốc thường sử dụng. Phát hiện này đánh dấu sự leo thang trong mô hình tấn công tình báo mạng ngày càng gia tăng nhắm vào cơ sở hạ tầng máy chủ cũ.
Phân tích chi tiết về mối đe dọa OP-512
Chiến lược kiên nhẫn và xâm nhập
Điều khiến OP-512 đặc biệt đáng báo động là sự kiên nhẫn của nó. Các nhà điều tra đã tìm thấy bằng chứng cho thấy kẻ tấn công đã truy cập vào máy chủ mục tiêu lần đầu tiên 75 ngày trước khi cuộc xâm nhập chính được phát hiện. Thay vì hành động nhanh chóng và có nguy cơ bị phát hiện, kẻ tấn công đã chờ đợi, sau đó quay lại để triển khai toàn bộ kho vũ khí của mình trong vòng vài giờ. Đây là dấu hiệu đặc trưng của các hoạt động tình báo mạng được nhà nước hậu thuẫn.
Phát hiện và đánh giá
Các nhà phân tích tại ReliaQuest đã xác định cụm tấn công mới này sau khi hệ thống Agentic AI của họ tổng hợp một lượng lớn các sự kiện đáng ngờ dường như không liên quan thành một sự cố ưu tiên cao. Các chuyên gia nghiên cứu về mối đe dọa sau đó đã xem xét và xác thực các phát hiện. Lĩnh vực và địa lý của tổ chức bị nhắm mục tiêu phù hợp với các ưu tiên tình báo có liên quan đến Trung Quốc, làm tăng thêm trọng lượng cho việc quy kết. Theo một báo cáo được chia sẻ với Cyber Security News, ReliaQuest đã đánh giá với độ tin cậy vừa-cao rằng OP-512 là một tác nhân mới, chưa từng được ghi nhận trước đây.
Tham khảo chi tiết tại: ReliaQuest Threat Spotlight.
Kỹ thuật triển khai Web Shell độc đáo
Framework Web Shell tùy chỉnh
Trung tâm của hoạt động này là một framework web shell tùy chỉnh bao gồm ba tệp độc hại, cung cấp cho kẻ tấn công quyền truy cập từ xa thông qua trình duyệt web. Mỗi bản triển khai đều duy nhất về mặt mật mã, có nghĩa là các công cụ phát hiện dựa trên chữ ký truyền thống không thể phát hiện một cách đáng tin cậy. Mỗi cài đặt tạo ra một dấu vân tay tệp hoàn toàn khác nhau, làm cho nhiều biện pháp phòng thủ phổ biến trở nên không hiệu quả.
Môi trường mục tiêu
Máy chủ bị xâm nhập đang chạy Windows Server 2016 với phiên bản .NET Framework chưa nhận được các bản cập nhật bảo mật kể từ năm 2016. OP-512 là ít nhất là cụm tấn công thứ tư liên quan đến Trung Quốc nhắm mục tiêu vào các máy chủ IIS cũ trong năm qua, xác nhận rằng cơ sở hạ tầng cũ, tiếp xúc với internet vẫn là một điểm truy cập ưa thích cho hoạt động tình báo.
Quy trình xâm nhập và kiểm soát
Thiết lập Web Shell
Sau khi xâm nhập thành công vào máy chủ, OP-512 đã nhanh chóng thiết lập quyền kiểm soát. Tiến trình worker của máy chủ web đã ghi web shell đầu tiên vào một thư mục tải lên, một trình quản lý tệp .aspx có kênh thông báo lệnh và kiểm soát tích hợp sẵn.
Tín hiệu chỉ huy và kiểm soát (C2)
Trong vòng vài giây, kẻ tấn công đã mã hóa URL của chính nó và truyền vị trí đó qua hai kênh độc lập: một truy vấn DNS và, như một phương án dự phòng, một yêu cầu HTTP đến một máy chủ sao lưu được liên kết với cơ sở hạ tầng Meterpreter đã biết.
Các tệp .ashx độc hại
Hai tệp xử lý lệnh .ashx sau đó đã được triển khai vào cùng một thư mục, mỗi tệp được tạo bằng một khóa mật mã khác nhau. Việc xâm phạm một tệp không thể cấp quyền truy cập thông qua tệp còn lại. Hệ thống được xây dựng để mỗi web shell trông độc đáo, hoạt động an toàn và báo cáo trở lại tự động.
Kỹ thuật che giấu dấu vết
Framework cũng sử dụng kỹ thuật timestomping, trong đó dấu thời gian của tệp bị thao túng để khớp với các tệp hợp pháp đã có trên máy chủ. Một tệp được đặt vào năm 2026 đã được làm cho trông giống như nó đã tồn tại từ năm 2022, trực tiếp làm suy yếu một kỹ thuật pháp y tiêu chuẩn mà các nhà điều tra dựa vào để phát hiện các tạo tác được thả gần đây.
Khai thác và phòng chống
Bộ công cụ khai thác
Với các web shell được thiết lập, OP-512 đã tải bốn bộ công cụ khai thác trực tiếp vào bộ nhớ của tiến trình máy chủ, không để lại dấu vết nào trên đĩa. Ba bộ công cụ đến từ bộ “Potato Suite” đã biết công khai, lạm dụng các dịch vụ tích hợp sẵn của Windows để leo thang quyền truy cập từ tài khoản dịch vụ hạn chế lên quyền kiểm soát toàn hệ thống. Một bộ công cụ thứ tư xuất hiện trong telemetry với tên “GhostKit”, mặc dù không có tài liệu công khai nào tồn tại cho một công cụ có tên đó.
Vượt qua Endpoint Protection
Phần mềm bảo vệ điểm cuối (Endpoint Protection) đã phát hiện và chấm dứt tiến trình độc hại khi hành vi đáng ngờ bị phát hiện. Tuy nhiên, IIS tự động khởi động lại các tiến trình worker khi chúng dừng, do đó các công cụ của kẻ tấn công đã được tải lại trong vòng vài phút. Các cảnh báo phòng ngừa đã được kích hoạt lặp đi lặp lại nhưng cuộc xâm nhập vẫn tiếp diễn, làm nổi bật một lỗ hổng nghiêm trọng: việc dừng một tiến trình mà không cách ly máy chủ chỉ làm trì hoãn, chứ không dừng lại, kẻ tấn công hoạt động thông qua IIS.
Các biện pháp phòng ngừa và khuyến nghị
Hành động khắc phục và phòng ngừa
Các nhà phòng thủ được khuyến nghị nên loại bỏ hoặc cách ly ngay lập tức các máy chủ tiếp xúc với internet đang chạy các framework .NET đã hết vòng đời. Các tổ chức nên vô hiệu hóa việc thực thi script trong các thư mục tải lên, giám sát các thư mục biên dịch ASP.NET để phát hiện việc tạo tệp bất thường và áp dụng các quy tắc tường lửa ứng dụng web (WAF).
Quản lý sự cố
Các nhóm ứng cứu sự cố không nên đóng một vụ án cho đến khi điểm truy cập được xác nhận và khắc phục, vì việc chỉ xóa web shell không giải quyết được lỗ hổng cơ bản. Điều này nhấn mạnh tầm quan trọng của việc **vá lỗi bảo mật** và quản lý bản vá kịp thời.
Các chỉ số thỏa hiệp (IoCs)
- Lưu ý: Địa chỉ IP và tên miền đã được làm mờ (ví dụ: [.] ) để ngăn chặn việc phân giải hoặc liên kết quá mức không mong muốn. Chỉ làm mờ lại trong các nền tảng tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.
