An ninh mạng

Nhóm tấn công OP-512 nhắm mục tiêu vào máy chủ Microsoft IIS bằng framework web shell tùy chỉnh

Các nhà nghiên cứu an ninh mạng vừa phát hiện nhóm tấn công mới mang tên OP-512, chuyên khai thác các máy chủ Microsoft IIS cũ để triển khai một framework web shell tinh vi nhằm thực hiện hoạt động...

Nguyen Hung
5 Tháng 6, 2026 3 Min Read
2 0

Các chuyên gia an ninh mạng vừa ghi nhận sự xuất hiện của một nhóm tấn công mới có tên gọi OP-512. Nhóm này tập trung khai thác các máy chủ Microsoft Internet Information Services (IIS) để triển khai một framework web shell được thiết kế riêng biệt.

Table Of Content

Theo báo cáo từ ReliaQuest, hoạt động của OP-512 mang tính chất gián điệp và được đánh giá với độ tin cậy từ trung bình đến cao là có liên quan đến các tác nhân từ Trung Quốc. Mục tiêu của nhóm thường là các tổ chức có vị trí địa lý và lĩnh vực hoạt động phù hợp với ưu tiên tình báo của các nhóm tấn công liên quan đến quốc gia này.

Phương thức tấn công tinh vi

Điểm đáng chú ý của OP-512 là việc sử dụng một framework web shell tùy chỉnh gồm ba thành phần riêng biệt. Hệ thống này không chỉ cung cấp quyền truy cập từ xa vào máy chủ bị xâm nhập mà còn được thiết kế để né tránh các phương pháp phát hiện dựa trên chữ ký (signature-based detection).

Nhóm này sử dụng kỹ thuật timestomping để thao túng dấu thời gian (timestamp) của các tệp tin web shell. Cụ thể, chúng quét các tệp và thư mục xung quanh, tính toán giá trị trung vị của thời gian sửa đổi gần nhất, sau đó ghi đè lên thời gian tạo và sửa đổi của chính các tệp độc hại để chúng trông như đã tồn tại từ lâu, gây khó khăn cho quá trình điều tra pháp y.

Đặc điểm kỹ thuật của framework

ReliaQuest nhấn mạnh rằng framework này sở hữu các khả năng hiếm gặp: mỗi lần triển khai đều được tạo ra duy nhất, quyền truy cập được kiểm soát thông qua các cơ chế mã hóa, và các máy chủ bị nhiễm sẽ tự động báo cáo về hệ thống quản lý tập trung của kẻ tấn công.

Trong một chiến dịch quan sát được, OP-512 đã nhắm vào một máy chủ IIS cũ chạy trên Windows Server 2016 với .NET Framework 4.0 đã ngừng hỗ trợ. Sau khi chiếm quyền điều khiển, nhóm này tiếp tục thực hiện leo thang đặc quyền lên cấp độ SYSTEM bằng cách sử dụng bộ công cụ Potato Suite.

Cảnh báo cho các quản trị viên

Đây là nhóm tấn công thứ tư trong vòng 12 tháng qua nhắm mục tiêu cụ thể vào các máy chủ IIS, sau các nhóm như CL-STA-0048, DragonRank và GhostRedirector. Việc liên tục xuất hiện các chiến dịch nhắm vào cùng một công nghệ cho thấy các máy chủ IIS chạy phần mềm cũ, không còn được hỗ trợ vẫn là điểm xâm nhập ưa thích của nhiều nhóm tin tặc.

Các chuyên gia khuyến cáo rằng việc chỉ dựa vào các biện pháp phòng thủ truyền thống đối với các nhóm tấn công đã biết là không đủ. OP-512 không sử dụng các công cụ thương mại (commodity tooling) mà sử dụng một framework được xây dựng riêng để vượt qua các phương pháp phát hiện thông thường, đòi hỏi các tổ chức phải tăng cường giám sát và cập nhật các bản vá bảo mật cho hệ thống IIS của mình.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept