中国との関連が疑われるスパイグループ「OP-512」は、信頼性の低い多数のイベントを単一の高優先度インシデントに迅速に関連付け、その後、人間のアナリストが検証するというプロセスを経て特定されました。
OP-512はインターネットインフォメーションサービス(IIS)サーバに侵入し、シグネチャベースの検出を回避するように設計されたカスタムWebシェルフレームワークを展開しました。
各Webシェルインスタンスは暗号学的に固有であり、多層暗号化によってアクセスを制限し、自身の位置情報を攻撃者のインフラに自動的に報告します。この仕組みにより、攻撃は持続的かつ高い隠密性を持つものとなっています。
今回の侵入は、サポートが終了した.NET Framework 4.0が稼働するインターネット接続型Windowsサーバを標的にしていました。証拠によれば、攻撃者は集中的なエスカレーションを仕掛ける前の少なくとも75日間、断続的なアクセスを維持していたことが示されています。
再侵入から数時間以内に、攻撃者は3つのWebシェルを設置しました。DNSおよびHTTPフォールバックで自身のURLを報告する.aspxファイルマネージャーと、コマンドを受け入れるためにRSA署名検証とRC4暗号化を必要とする2つの.ashxコマンドハンドラーです。
.aspxシェルは、DNSクエリ内の16進数セグメント化されたサブドメインに自身のパスをエンコードすることでコールバックします。そのチャネルが失敗した場合は、同じエンコードされたパスをHTTPリクエストで送信します。
この二重通知設計により、オペレーターはWebシェルを展開した後は自動検出に依存できるため、さらなる対話型偵察の必要性が低減されています。
特に重要なのは、各Webシェルの展開が、変数名をランダム化し、ジャンクコードを挿入し、異なるRSA公開鍵を埋め込む自動ビルダーによって固有に生成されるという点です。そのため、ファイルハッシュや静的インジケーターはインシデントごとに異なります。
ReliaQuestのエージェンティックAIは、無関係に見える大量のイベントをマシンスピードで関連付けることで、中国との関連が疑われる新たなスパイグループ「OP-512」を発見しました。
コマンドハンドラーは実行前に署名・暗号化されたペイロードを検証するため、防御側がコマンドを発行することを防ぎ、ネットワークレベルの検査を困難にしています。
OP-512によるIISサーバへの標的攻撃
これらのWebシェルはファイルのタイムスタンプを改ざん(タイムストンプ)して既存のファイルタイムラインに溶け込み、さらにASP.NETに一時ディレクトリへ永続するアーティファクト(コンパイル済みDLL)を生成させます。このDLLはソースファイルが削除された後も存在し続け、削除されなければアクセスを再度有効化する可能性があります。
両コマンドハンドラーのRC4復号化関数は、アルゴリズム自体は同一ですが、すべての変数名とメソッド名がランダム化されています。
展開後、攻撃者は複数の「Potato」権限昇格ツールを含む複数のポストエクスプロイテーションツールキットを、IISワーカープロセスのメモリに直接ロードしました。
これらはディスクにアーティファクトを書き込まずに実行されました。エンドポイント保護が悪意あるプロセスを終了させましたが、IISが自動的にワーカープロセスを再起動するため、攻撃は回復して継続されました。
検出はリフレクティブな.NETアセンブリのロードにフラグを立てたEDRテレメトリに依存していました。挙動テレメトリがなければ、この侵入は隠れたままだった可能性が高いです。
ReliaQuestによると、OP-512は過去1年間にレガシーIISサーバを標的にしていることが確認された少なくとも4番目の中国関連グループですが、展開ごとの暗号学的固有性と堅牢な運用セキュリティにより、他のグループと一線を画しています。
過去のグループとの部分的な重複も見られます。最も注目すべきは、CL-STA-0048で確認された珍しい16進数エンコードのDNSシグナリングです。ただし、OP-512のツール、インフラ、暗号化コマンドモデルは、別の攻撃者の存在か、既存グループの大幅な再構築を示唆しています。
防御側はこれを緊急の警告として受け止め、インターネットに接続するホスト上のサポート終了.NETフレームワークの廃止または隔離、アップロードディレクトリとASP.NETコンパイルパスの堅牢化、そしてシグネチャハンティングよりも挙動検出の優先化に取り組む必要があります。
具体的な対策としては、IISの自動再起動によるアクセス再確立を防ぐための疑わしいホストの即時隔離、w3wp.exeからの長い16進数セグメント化サブドメインの送信DNSの監視、そしてWebシェル削除後のASP.NET一時コンパイルアーティファクトのクリアリングが挙げられます。
詳細については、ReliaQuestのOP-512に関する技術レポート、および中国関連のスパイ活動とArcGIS「Flax Typhoon」侵害に関する関連ブログをご参照ください。これらは類似した共有ツールや手法を示しています。
GreyMatter Agentic AIが実証したように、小さなイベントを単一のインシデントに迅速に関連付けることで、攻撃者が頼りにする時間的余裕を実質的に短縮でき、OP-512のような高度で辛抱強いスパイ活動の封じ込めに不可欠です。
IOC(侵害指標)
| アーティファクト | 詳細 |
|---|---|
| ashx.lhlsjcb[.]com | 主要インシデントの約75日前に、同一ホスト上で確認されたDNS C2ドメイン。後の侵入で使用されたドメイン(hcgos[.]com)とは異なるドメインが使用されており、訪問間のインフラローテーションを示唆しています。 |
| hcgos[.]com | 自己報告通知チャネルで使用されるDNS C2ドメイン。ログではサブドメインパターン a.<hex>.c.hcgos[.]com を確認してください。 |
| 43.160.202[.]246:8053 | 非標準ポート上のMeterpreter C2サーバー。 |
| 140.206.161[.]227:443 | 侵害されたホストからの外向き接続。 |
| 124.156.129[.]151 | Webシェルとのやり取りで使用されたソースIP。python-requests/2.33.0 ユーザーエージェント、.aspx ファイルを含むアップロードパスへのPOSTリクエスト、およびWebシェル展開ウィンドウと一致するタイミングの組み合わせにより、高いシグナル値を持ちます。ユーザーエージェント単体では信頼性の高い指標にはなりません。 |
注意: IPアドレスとドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的にデファング(例:[.])されています。MISPやVirusTotal、SIEMなど管理された脅威インテリジェンスプラットフォーム内でのみ、ファング化してご使用ください。
翻訳元: https://gbhackers.com/op-512-targets-iis-servers/
