OP-512として追跡されている、これまで文書化されていなかった中国関連のスパイ活動クラスターが、Internet Information Services(IIS)サーバーに対して専用のWebシェルフレームワークを展開していたことが明らかになりました。
ReliaQuestは、同社のAgentic AIが顧客環境内で発生した多数の低信頼度イベントをマシンスピードで単一の高優先度インシデントに関連付けたことで、このクラスターを特定・検証しました。
侵害されたサーバーは、2016年以降サポートが終了しているサポート切れの.NET Framework 4.0を搭載した Windows Server 2016上で稼働しており、メインの侵入より75日前から攻撃者によるアクセスの痕跡が確認されていました。
EDRテレメトリは、攻撃者が管理するドメイン(ashx.lhlsjcb[.]com)への過去のDNSクエリをフラグとして検出していました。この脅威アクターは再び戻ってきており、迅速なデータ窃取よりも持続的なアクセスを目的とする、国家支援型スパイ活動に典型的なパターンを示しています。
再侵入後わずか数時間以内に、OP-512は3つのWebシェルを展開し、2系統のコマンドチャネルを確立した上で、特権昇格ツールを直接メモリにロードしました。ディスクへの書き込みは一切行われませんでした。
このフレームワークの中核となるのは、アクセスされた瞬間に攻撃者のサーバーへ通知を送る.aspxファイルマネージャーです。自身のURLを16進数分割のDNSクエリにエンコードして攻撃者インフラに送信し、DNSが失敗した場合はMeterpreter関連インフラへのHTTPビーコンにフォールバックします。
この設計は意図的に「撃ちっぱなし」を採用しており、シェルを展開してその場を離れ、インフラが自動的に展開場所を記録する仕組みになっています。インシデント対応中にアクセスが発生すると、同時に攻撃者へ警告が送られる可能性があります。
続いて2つの.ashx暗号化コマンドハンドラーが展開されます。それぞれ共有ビルダーから生成されており、変数名のランダム化、デッドコードの挿入、無意味なコメントの埋め込みを行うことで、機能的には同一でありながらハッシュ値が全く異なるファイルを生成します。
コマンド実行は4段階のパイプラインを経ます:Base64デコード → RC4復号 → RSA署名検証 → 実行。
各ハンドラーには固有のRSA公開鍵が埋め込まれており、それぞれのインプラントを操作するには個別の秘密鍵が必要です。一方の鍵が漏洩しても、もう一方へのアクセスは得られません。
3つのシェルすべてにタイムストンピング機能が含まれており、周囲のファイルをスキャンして最終更新日時の中央値を算出し、自身のタイムスタンプをそれに合わせて改ざんします。2026年に設置されたWebシェルであっても、フォレンジック的には2022年から存在していたかのように見えます。
OP-512は、1年以内にIISサーバーを標的とした中国関連クラスターとして確認された少なくとも4番目の存在であり、CL-STA-0048、GhostRedirector、そしてDragonRankに続くものです。
4つのグループがいずれもDMZに配置されたIISサーバーを標的とするのには共通の理由があります。これらのサーバーはインターネット向けネットワークと内部ネットワークの境界に位置し、コアインフラほど監視が行き届いていないため、理想的な侵入展開の起点となるからです。
OP-512とCL-STA-0048はいずれも隠密な通信に16進数エンコードのサブドメインクエリを使用しており、このパターンは十分に珍しいことから偶然の一致とは考えにくく、中国関連の広範な脅威エコシステム内でのツールや訓練の共有を示唆しています。
ただし、CL-STA-0048が窃取したデータをサブドメインにエンコードして外部へ持ち出すのに対し、OP-512はWebシェルのURLをエンコードして展開場所を報告します。手法は同じでも、目的は異なります。
CL-STA-0048はPlugXやCobalt Strikeといった汎用ツールに依存していますが、OP-512が持つ展開ごとの暗号学的固有性とRSA+RC4の多層認証は、カスタムツールへの根本的に異なる投資を示しており、同一のアクターとは考えにくい状況です。
ReliaQuestは、OP-512が独立して活動する独自のクラスターであると、中〜高信頼度で評価しています。
注目すべき点として、今回の侵入から回収されたBase64エンコードのwhoamiコマンドが、ReliaQuestが文書化したFlax TyphoonのArcGIS侵害で使用されたコマンドと一字一句一致しており、このエコシステム全体でプレイブックが共有されている可能性を示唆しています。
エンドポイント保護が悪意のあるw3wp.exeプロセスを終了させると、IISが自動的にそれを再起動し、数分以内に攻撃者のツールが再ロードされました。防御機能は繰り返し作動しましたが、侵入は継続しました。
注意: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的にデファング処理(例:[.])が施されています。MISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ、元の形式に戻してご使用ください。
シグネチャベースの検知は、設計上ここでは効果がありません。防御者は以下の点に注力する必要があります:
インターネットに公開されたIISサーバーでサポート終了の.NETを稼働させている組織は、これを移行を急ぐ即時のきっかけとして捉え、アップロードディレクトリの.aspx/.ashxハンドラーマッピングを無効化し、インシデントのクローズには根本原因の修復確認を必須とすることを強くお勧めします。
翻訳元: https://cyberpress.org/china-linked-aspx-ashx-web-shells/
