B
今週中
Microsoft IISサーバーを標的とする新しい脅威クラスター「OP-512」
📌 一言でいうと
Microsoft IISサーバーを標的とする新しい脅威クラスター「OP-512」が発見されました。このグループは独自のウェブシェルフレームワークをデプロイし、諜報活動を行っているとされており、中国に関連している可能性が高いと分析されています。過去12ヶ月間でIISサーバーを標的とした中国系アクターは複数確認されており、同様の傾向が見られます。
🔍該当判定
- 自社でWindows Serverを運用し、Webサーバー機能(IIS)を有効にしている
- 外部(インターネット)からアクセス可能なWebサイトを、Microsoft IISで公開している
- 社内向けにMicrosoft IISを利用したWebアプリケーションを構築・運用している
上記いずれにも該当しない(例:ApacheやNginxを利用、またはクラウドサービスのみ利用) → 静観でOK
✅該当時の対応
IISサーバーのログを監視し、不審なウェブシェルの設置や未知のファイル作成がないか確認してください。また、サーバーのパッチ適用を最新に保ち、不要なサービスを停止することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Microsoft IISサーバーを標的とした脅威アクター「OP-512」について
お疲れさまです。Microsoft IISサーバーを標的とする新しい攻撃グループに関する情報共有です。
■ 概要
脅威クラスター「OP-512」が、Microsoft IISサーバーに独自のウェブシェルを設置し、諜報活動を行う事例が確認されました。分析により、中国系アクターである可能性が高いとされています。
■ 影響範囲
- Microsoft Internet Information Services (IIS) を運用しているサーバー
■ 対応手順
1. IISサーバー上の不審なファイル(特に未知のASPXファイル等)の有無を確認してください。
2. ウェブサーバーのアクセスログを確認し、不審な外部IPからのリクエストや異常な挙動がないか調査してください。
3. OSおよびIISの最新セキュリティパッチを適用してください。
■ 参考情報
- ReliaQuest Report / The Hacker News
対応優先度: 中
対応期限: 随時
お疲れさまです。Microsoft IISサーバーを標的とする新しい攻撃グループに関する情報共有です。
■ 概要
脅威クラスター「OP-512」が、Microsoft IISサーバーに独自のウェブシェルを設置し、諜報活動を行う事例が確認されました。分析により、中国系アクターである可能性が高いとされています。
■ 影響範囲
- Microsoft Internet Information Services (IIS) を運用しているサーバー
■ 対応手順
1. IISサーバー上の不審なファイル(特に未知のASPXファイル等)の有無を確認してください。
2. ウェブサーバーのアクセスログを確認し、不審な外部IPからのリクエストや異常な挙動がないか調査してください。
3. OSおよびIISの最新セキュリティパッチを適用してください。
■ 参考情報
- ReliaQuest Report / The Hacker News
対応優先度: 中
対応期限: 随時
Subject: [Intel] Threat Actor OP-512 Targeting Microsoft IIS Servers
Dear Team,
We are sharing information regarding a new threat cluster, OP-512, targeting Microsoft IIS servers.
■ Overview
OP-512 has been observed deploying a bespoke web shell framework on Microsoft IIS servers for espionage purposes. The activity is assessed with moderate to high confidence to be linked to China.
■ Scope
- Servers running Microsoft Internet Information Services (IIS)
■ Recommended Actions
1. Audit IIS server directories for unauthorized or suspicious files (e.g., unknown .aspx files).
2. Review web server access logs for anomalous requests or indicators of compromise.
3. Ensure all IIS and OS security patches are up to date.
■ Reference
- ReliaQuest Report / The Hacker News
Priority: Medium
Deadline: Ongoing
Dear Team,
We are sharing information regarding a new threat cluster, OP-512, targeting Microsoft IIS servers.
■ Overview
OP-512 has been observed deploying a bespoke web shell framework on Microsoft IIS servers for espionage purposes. The activity is assessed with moderate to high confidence to be linked to China.
■ Scope
- Servers running Microsoft Internet Information Services (IIS)
■ Recommended Actions
1. Audit IIS server directories for unauthorized or suspicious files (e.g., unknown .aspx files).
2. Review web server access logs for anomalous requests or indicators of compromise.
3. Ensure all IIS and OS security patches are up to date.
■ Reference
- ReliaQuest Report / The Hacker News
Priority: Medium
Deadline: Ongoing