كشف باحثون في الأمن السيبراني عن مجموعة تهديد جديدة غير موثقة سابقاً تحمل اسم OP-512، حيث يشير “OP” إلى “Opponent” أي الخصم. هذه المجموعة استهدفت خوادم Microsoft Internet Information Services (IIS) عبر نشر إطار ويب شيل مخصص يمنحها وصولاً بعيد المدى إلى الأنظمة المخترقة.
شركة ReliaQuest رجحت بدرجة ثقة متوسطة إلى عالية أن النشاط التجسسي مرتبط بالصين، مشيرة إلى أن الأهداف تتماشى مع أولويات الاستخبارات الصينية. ويُعد هذا رابع تجمع تهديد صيني يستهدف خوادم IIS خلال عام واحد، بعد مجموعات CL-STA-0048 وDragonRank وGhostRedirector.
خصائص إطار الويب شيل الجديد
الإطار الذي طورته OP-512 يتكون من ثلاثة ويب شيلز تمنح المهاجمين قدرات متقدمة تشمل:
- إدارة الملفات على الخادم المخترق.
- تنفيذ أوامر مصادق عليها عبر مسارين مستقلين.
- آلية إبلاغ آلية عن موقع الإصابة إلى خوادم المهاجمين.
الأخطر أن المجموعة استخدمت تقنيات timestomping لتغيير الطوابع الزمنية لملفات الويب شيل، بحيث تبدو وكأنها موجودة منذ فترة طويلة، ما يعقد عمليات التحقيق الجنائي ويصعّب اكتشافها عبر أدوات الكشف التقليدية.
تفاصيل الهجوم الموثق
في إحدى الحوادث التي رصدتها ReliaQuest، استهدفت OP-512 خادم IIS قديم يعمل على Windows Server 2016 باستخدام نسخة منتهية الصلاحية من .NET Framework 4.0.
المهاجمون استغلوا عملية w3wp.exe لإسقاط أحد الويب شيلز في مجلد التحميل الخاص بالتطبيق، مما فعّل آلية الإبلاغ الذاتي عبر استعلام DNS أو طلب HTTP إلى نطاق يسيطر عليه المهاجمون.
بعد نشر الويب شيلز، حاولت المجموعة تصعيد الامتيازات إلى مستوى SYSTEM باستخدام أدوات Potato Suite، ثم نفذت أوامر للتأكد من الصلاحيات المكتسبة.
دلالات استراتيجية وخطر متزايد
تزامن استهداف IIS من قبل أربع مجموعات مرتبطة بالصين خلال أقل من عام يُعتبر مؤشراً استراتيجياً على أهمية هذه الخوادم كمدخل مفضل للهجمات. خوادم IIS المكشوفة على الإنترنت والتي تعمل ببرمجيات قديمة وغير مدعومة تبقى هدفاً رئيسياً لهذه الحملات.
ما يميز OP-512 عن غيرها أنها لا تعتمد على أدوات جاهزة أو معاد تدويرها، بل طورت إطاراً مخصصاً للتغلب على أساليب الكشف التقليدية، ما يجعل المؤسسات التي ركزت دفاعاتها على المجموعات المعروفة غير محمية أمام هذا التهديد الجديد.
