OP-512: Chinesische Hackergruppe 75 Tage unentdeckt in Microsoft-Servern

Sicherheitsforscher haben eine bislang unbekannte chinesische Hackergruppe identifiziert, die gezielt Microsoft-Webserver angreift. Die als OP-512 bezeichnete Gruppierung setzt dabei auf eine hochentwickelte, kryptografisch geschützte Schadsoftware, die herkömmliche Erkennungsmechanismen umgeht.

Während professionelle Hackergruppen gezielt Infrastrukturen angreifen, rücken auch Unternehmen und deren IT-Sicherheit immer stärker ins Visier. Das kostenlose E-Book liefert fundierte Informationen zu aktuellen Bedrohungen und zeigt, wie Sie Sicherheitslücken proaktiv schließen. IT-Sicherheit stärken und Unternehmen vor Cyberangriffen schützen

75 Tage unentdeckt im System

Die Angriffe wurden von den Sicherheitsexperten bei ReliaQuest aufgedeckt. Besonders brisant: Die Hacker blieben ganze 75 Tage lang unentdeckt in den kompromittierten Systemen. Ziel der Attacken waren veraltete Windows Server 2016-Umgebungen mit einer nicht mehr unterstützten Version von .NET Framework 4.0.

Es ist bereits der vierte bekannte Fall innerhalb eines Jahres, bei dem eine China-nahe Gruppe Microsofts Internet Information Services (IIS) ins Visier nimmt.

Tarnkappen-Methoden der Angreifer

Um unerkannt zu bleiben, setzte OP-512 auf mehrere ausgeklügelte Taktiken:

• Timestomping: Die Hacker manipulierten Datei-Metadaten, um Spuren zu verwischen
• Speicherbasierte Rechteausweitung: Kritische Aktionen fanden ausschließlich im Arbeitsspeicher des w3wp.exe-Prozesses statt
• Verschleierte Kommunikation: Die Verbindung zu den Kommando-Servern lief über hexadezimal segmentierte und codierte DNS-Anfragen – eine Methode, die traditionelle Netzwerküberwachung oft übersieht

Hochsichere Schadsoftware aus dem Baukasten

Das von OP-512 eingesetzte Web-Shell-Framework besteht aus drei Komponenten: einem Dateimanager (.aspx) und zwei kryptografischen Befehls-Handlern (.ashx). Jede einzelne Installation wird automatisch generiert – kein Exemplar gleicht dem anderen. Das macht signaturbasierte Erkennung nahezu unmöglich.

Besonders raffiniert: Der Zugriff auf die Schadsoftware ist durch mehrschichtige Verschlüsselung geschützt. Die Hacker implementierten ein Protokoll aus Base64-Codierung, RC4-Entschlüsselung und RSA-Signaturprüfung. Nur autorisierte Angreifer können die kompromittierten Server steuern.

Oft nutzen Angreifer psychologische Manipulationstaktiken und technische Schwachstellen, um tief in Unternehmensstrukturen einzudringen. Dieser Gratis-Report enthüllt die aktuellen Methoden der Cyberkriminellen und bietet eine konkrete Anleitung zur erfolgreichen Hacker-Abwehr. Kostenloses Anti-Phishing-Paket für Unternehmen anfordern

Größere Zusammenhänge

Die Sicherheitsforscher sehen taktische Überschneidungen zwischen OP-512 und einer weiteren bekannten Gruppe namens CL-STA-0048. Parallel dazu berichten Analysten von Proofpoint von einer anderen China-nahen Gruppierung, TA4922, die ihr Operationsgebiet von Asien auf Europa und Afrika ausweitet.

Hinzu kommt eine aktuelle Sicherheitslücke: Anfang Juni wurde eine DoS-Schwachstelle namens "HTTP/2 Bomb" bekannt, die verschiedene Webserver betrifft – darunter auch Microsoft IIS. Zwar stehen Patches bereit, doch die Kombination aus maßgeschneiderter Malware und Infrastruktur-Schwachstellen bleibt eine ernste Herausforderung für Unternehmen.

de | wissenschaft | 69502488 |