🔍 Натрапив на доволі цікаву й трохи лячну історію про новий кластер загроз OP-512, який полює на старі сервери Microsoft IIS. Мені здається, це ще один дзвіночок, що «воно якось працює, не чіпай» у 2024 році вже не варіант 😅OP-512 використовує кастомний фреймворк із трьох вебшелів: віддалений доступ, керування файлами й автоматичне сповіщення атакувальників через DNS/HTTP — усе з криптографічним захистом доступу 🕵️‍♂️ Кожне розгортання унікальне, тому класичні сигнатури його майже не бачать, а ціль передусім — шпигунство по серверах на кшталт Windows Server 2016 + .NET 4.0.Особливо мене вразив їхній підхід до маскування: замість рандомних дат файлам ставлять медіанну часову мітку з оточення, тож вебшели виглядають «старожилами» у системі 🧩 Після закріплення вони ще й пробують піднятися до рівня SYSTEM через Potato Suite, перевіряючи привілеї командою whoami /priv ⚠️Я для себе роблю висновок: усі ІIS з виходом в інтернет на старих платформах — це вже не просто технічний борг, а повноцінний вхідний шлюз для APT 🛡️ А ви ще тримаєте в продакшені старі IIS/Windows Server 2016 — і якщо так, то як підстраховуєтеся?🔗 Докладніше:https://cybersecurefox.com/uk/op-512-ataky-na-microsoft-iis#кібербезпека #infosec #iis #windows #apt #адміниCyberSecureFox