«Картофельные» эксплойты в корпоративном сервере. Всё, что нужно знать о новой китайской кибершпионской группе OP-512

Старый веб-сервер может месяцами выглядеть обычной частью инфраструктуры, пока злоумышленники тихо готовят через него доступ во внутреннюю сеть. Именно такой случай описала компания ReliaQuest, обнаружившая новую предполагаемую китайскую кибершпионскую группу OP-512.

По оценке ReliaQuest, OP-512 с умеренно высокой уверенностью связана с Китаем. Группа проникла на сервер Internet Information Services, который работал на Windows Server 2016 и устаревшей платформе .NET Framework 4.0. Поддержка этой версии прекратилась ещё в 2016 году, поэтому сервер оставался удобной целью для атаки.

Главной особенностью операции стал собственный набор веб-оболочек. Такие вредоносные файлы позволяют злоумышленникам управлять сервером через браузер. OP-512 использовала сразу три веб-оболочки, причём каждая установка создавалась уникальной с криптографической точки зрения. Из-за этого обнаружить такие файлы по сигнатурам трудно: каждый новый файл выглядит иначе.

Первая веб-оболочка работала как файловый менеджер и сама сообщала злоумышленникам, где находится. При открытии страницы она кодировала свой адрес и отправляла его через запрос к домену злоумышленников. Если такой способ не срабатывал, использовался запасной канал через HTTP-запрос к отдельному серверу управления.

Две другие веб-оболочки отвечали за выполнение команд. Перед запуском команды они расшифровывали запрос, проверяли цифровую подпись и работали только при наличии правильного ключа. Такая схема ограничивала доступ даже внутри самой операции: один ключ не давал управления всеми установленными компонентами.

Следы активности на сервере заметили ещё за 75 дней до основной фазы атаки. Позже злоумышленники вернулись и за считаные часы развернули веб-оболочки, создали несколько каналов управления и попытались повысить привилегии в системе. Для этого применялись инструменты BadPotato, SweetPotato и EfsPotato, которые используют особенности Windows, чтобы получить более высокие права.

Защита конечной точки остановила вредоносный процесс, но атака не прекратилась. IIS автоматически перезапускает рабочие процессы после сбоя или завершения, поэтому инструменты злоумышленников снова загружались в память. ReliaQuest указывает, что простое завершение процесса без изоляции сервера создало цикл, в котором защита срабатывала снова и снова, а активность продолжалась.

Отдельную проблему создали временные файлы ASP.NET. Когда вредоносные файлы запускались впервые, платформа компилировала их в библиотеки DLL и сохраняла на диске. Такие библиотеки могут остаться даже после удаления исходных веб-оболочек, поэтому когда расследуют инцидент, нужно проверять и очищать временные каталоги компиляции ASP.NET.

OP-512 также пыталась скрыть время появления файлов. Веб-оболочки просматривали соседние файлы и подменяли собственные даты создания и изменения так, чтобы не выделяться на фоне старого содержимого сервера. Такой приём мешает простому поиску подозрительных файлов по времени изменения.

ReliaQuest считает OP-512 как минимум четвёртой китайской группой или кластером, который за последний год атаковал устаревшие серверы IIS. При этом OP-512 не совпадает с уже известными операциями CL-STA-0048, GhostRedirector и DragonRank. Совпадения есть в отдельных приёмах, но набор инструментов, инфраструктура и цели отличаются.

Компания предупреждает, что организации с устаревшими версиями .NET Framework на доступных из интернета серверах должны ускорить миграцию или хотя бы изолировать такие системы. Особое внимание стоит уделить каталогам загрузки файлов, временным каталогам ASP.NET, необычным DNS-запросам от процессов IIS и запуску командной строки из процесса веб-сервера.

По оценке ReliaQuest, атаки на старую инфраструктуру IIS, вероятно, продолжатся в 2026 и 2027 годах, пока такие серверы остаются доступными из интернета. Для защиты уже недостаточно правил под известные группы: OP-512 показывает, что новые операции могут быстро менять инструменты и обходить привычные методы обнаружения.