代号为OP-512的间谍软件在IIS上部署自定义ASPX/ASHX后门

admin 2026-07-04 04:44:22 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 代号为OP-512的间谍软件针对运行已停止支持的.NETFramework4.0的WindowsServer2016环境,在IIS服务器上部署自定义ASPX/ASHX后门框架。该框架使用双命令通道,通过十六进制编码的DNS查询回连,并回退到HTTP信标。命令执行采用Base64解码、RC4解密、RSA签名验证的四阶段流水线。攻击者利用时间戳篡改和IIS自动重启功能保持隐蔽。评估认为这是一个独立的威胁集群。 综合评分: 85 文章分类: 恶意软件,威胁情报,红队,内网渗透,漏洞分析


cover_image

代号为OP-512的间谍软件在 IIS 上部署自定义 ASPX/ASHX 后门

爱拍照的老李 爱拍照的老李

爱拍照的老李

2026年6月7日 09:00 湖北

在小说阅读器读本章

去阅读

代号为OP-512的间谍软件,已被观察到部署了一个专门构建的WebShell框架,以入侵Internet Information Services(IIS)服务器。由 ReliaQuest 发现的这次间谍行动,以运行已停止支持的 .NET Framework 4.0 的 Windows Server 2016 环境为目标。

遥测数据显示,威胁组织在主要入侵发生前75天就已建立访问权限,这凸显了一种以持续、长期网络访问为核心的策略。

OP-512 快速建立了双命令通道,部署了三个 Web Shell,并将权限提升工具直接加载到内存中以避免基于磁盘的检测。该框架高度依赖一个自定义的.aspx文件管理器,其作为即发即弃型植入程序运行。

一旦被访问,该Webshell会通过将其URL编码为十六进制分段的DNS查询来自动回连。如果DNS请求失败,该框架会回退到与Meterpreter基础设施相关联的HTTP信标。

用于间谍活动的网页后门工具包

攻击链(来源:Reliaquest)

命令执行由两个.ashx加密处理程序管理。Reliaquest 表示,这些处理程序由一个共享生成器生成,该生成器会对变量名进行随机化处理并嵌入垃圾代码,以确保功能相同的文件能生成完全不同的哈希值。

处理命令需严格遵循四阶段流水线流程:Base64 解码、RC4 解密、RSA 签名验证,最后执行命令。由于每个处理程序都嵌入了唯一的 RSA 公钥,破解其中一个密钥,分析人员或竞争对手操作员也无法获取其他密钥的访问权限。

为保持隐蔽性,这三个WebShell均采用了先进的时间戳篡改技术。它们扫描周围文件,计算出最后修改时间戳的中位数,并回写自身元数据的时间,从而实现无缝融合。

此外,当端点保护在入侵期间终止恶意的w3wp.exe进程时,原生的IIS自动重启功能会立即重新加载内存中的工具,使得标准的进程终止防护措施失效。

OP-512 是过去一年中观测到的第四个针对 IIS 服务器的威胁组织集群,与 DragonRank、CL-STA-0048 以及GhostRedirector同属此类集群。

部署在DMZ区域的IIS服务器仍是极具吸引力的攻击目标,原因在于它们处于网络边界位置,且与核心基础设施相比,历史上受到的监控力度更低。

OP-512和CL-STA-0048均利用罕见的十六进制编码子域查询进行隐蔽信令,但二者的目的不同。CL-STA-0048使用该技术实现数据窃取,而OP-512仅用其上报部署位置。

此外,从此次事件中恢复的经 base64 编码的whoami命令,与已知的Flax Typhoon入侵活动所使用的命令完全一致。

ReliaQuest 以中高置信度评估认为 OP-512 是一个独立的威胁集群,其独特之处在于对分层 RSA 和 RC4 认证的投入。

技术报告:

https://reliaquest.com/blog/threat-spotlight-reliaquests-agentic-ai-uncovers-new-china-linked-cluster-op-512/

新闻链接:

China-Linked Espionage Cluster Deploys Custom ASPX/ASHX Shells on IIS

今日安全资讯速递

APT事件

Advanced Persistent Threat

  1. 代号为OP-512的间谍软件在 IIS 上部署自定义 ASPX/ASHX 后门

代号为OP-512的间谍软件,已被观察到部署了一个专门构建的WebShell框架,以入侵Internet Information Services(IIS)服务器。由 ReliaQuest 发现的这次间谍行动,以运行已停止支持的 .NET Framework 4.0 的 Windows Server 2016 环境为目标。

🔗https://gbhackers.com/china-linked-espionage-aspx-ashx-shells/

  1. 安卓间谍软件“Asin”利用虚假新闻和实用程序应用针对阿拉伯语用户

ESET研究人员发现一种此前未记录的Android间谍软件变种,名为Asin,该恶意软件通过针对阿拉伯语用户的欺诈性网站进行分发。据安全公司称,该活动最早在2025年初被观察到,并涉及多个独立的攻击行动。

🔗https://www.cysecurity.news/2026/06/android-spyware-asin-uses-fake-news-and.html

一般威胁事件

General Threat Incidents

  1. Miasma 蠕虫在重大供应链攻击中影响 73 个微软 GitHub 库

微软的GitHub库已成为持续进行的Miasma自我复制供应链攻击活动的最新受害者。

🔗https://thehackernews.com/2026/06/miasma-worm-hits-73-microsoft-github.html

  1. 关键 Hugging Face Transformers 漏洞允许远程代码执行攻击

一个新披露的HuggingFace Transformers库中的关键漏洞,编号为CVE-2026-4372,攻击者可以通过恶意模型配置文件实现远程代码执行(RCE)。该漏洞在最广泛使用的机器学习框架之一中暴露了重大的供应链风险,影响全球的开发者、企业和AI流程。

🔗https://cybersecuritynews.com/hugging-face-rce-vulnerability/

  1. FROST攻击:网站如今可通过SSD固态硬盘监视用户

黑客正利用SSD固态硬盘来监视用户的活动以及用户设备上还打开了哪些其他应用程序。

🔗https://www.cysecurity.news/2026/06/frost-attack-websites-can-now-spy-on.html

  1. SolarMarker / SOVA 恶意软件

SolarMarker(也与SOVA相关)是一种复杂的信息窃取恶意软件,旨在收集凭证、浏览器数据和敏感文件。

🔗https://www.cybermaterial.com/p/solarmarker-sova-malware

  1. 牛津大学学生数据再次被入侵 – 这次是通过职业平台漏洞

牛津大学求职的学生会失望地得知,犯罪分子在短短几个月内入侵了该校的第二个外部平台提供商。

🔗https://www.theregister.com/security/2026/06/06/oxford-university-data-pwned-again-by-career-platform-breach/5251754

漏洞事件

Vulnerability Incidents

  1. 思科 Catalyst SD-WAN 管理器CVE-2026-20245漏洞正在被积极利用——无补丁可用

思科已警告称,一个影响Catalyst SD-WAN Manager的高严重性安全漏洞正在被积极利用。

🔗https://thehackernews.com/2026/06/cisco-catalyst-sd-wan-manager-cve-2026.html

  1. CISA 将正在被利用的 SolarWinds Serv-U DoS 漏洞添加到 KEV 目录中

美国网络安全和基础设施安全局(CISA)已将一个影响SolarWinds Serv-U多协议文件服务器软件的高严重性安全漏洞添加到其已知被利用漏洞(KEV)清单中,指出有主动利用的证据。谷歌发布了针对429个安全漏洞的Chrome 149补丁,创下单次发布中最多的一次。

🔗https://thehackernews.com/2026/06/cisa-adds-actively-exploited-solarwinds.html

  1. AI代理发现FFmpeg中的21个0day漏洞;Chrome修补创纪录的429个漏洞

本周内,有两件事在几天内相继发生。一家安全初创公司报告了 FFmpeg 中的 21 个之前未知的漏洞,FFmpeg 是几乎所有涉及视频的设备中的媒体库,这些漏洞均由一个自主 AI 代理发现。

🔗https://thehackernews.com/2026/06/ai-agent-uncovers-21-zero-days-in.html

  1. OpenAI 推出“锁定模式”以防止提示注入攻击泄露敏感数据

即使启用了“锁定模式”,ChatGPT 仍可能容易受到提示注入攻击,但目标是降低敏感数据在此过程中被泄露的可能性。

🔗https://techcrunch.com/2026/06/06/openai-unveils-lockdown-mode-to-protect-sensitive-data-from-prompt-injection-attacks/

  1. 关键 UniFi OS 身份验证绕过漏洞导致未授权根 RCE

Ubiquiti 已修复 UniFi OS 服务器中的三个关键漏洞,攻击者可以将这些漏洞串联起来,以获得具有根权限的未认证远程代码执行(RCE)。这些漏洞于 2026 年 5 月 21 日通过安全公告第 064 号(SAB-064)披露,漏洞编号分别为 CVE-2026-34908、CVE-2026-34909 和 CVE-2026-34910。

🔗https://gbhackers.com/critical-unifi-os-auth-bypass-flaws/

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:爱拍照的老李 爱拍照的老李 爱拍照的老李《代号为OP-512的间谍软件在 IIS 上部署自定义 ASPX/ASHX 后门》

评论:0   参与:  0