Специалисты Unit 42 Palo Alto Networks раскрыли масштабную кампанию брокеров начального доступа (Initial Access Brokers, IAB), использующих утечки криптографических ключей Machine Keys для взлома корпоративных систем. Группа, отслеживаемая как TGR-CRI-0045 и связанная с Gold Melody (также известной как UNC961 или Prophet Spider), атаковала организации в Европе и США, включая финансовый сектор, производство, розничную торговлю, высокие технологии и логистику. Их методология основана на эксплуатации уязвимости десериализации ASP.NET View State, позволяющей выполнять вредоносные нагрузки напрямую в памяти серверов Microsoft Internet Information Services (IIS), что минимизирует следы на дисках и усложняет обнаружение.
Описание
Ранее, подобную активность уже описывали Kudelski Security Threat Research, киберпреступники эксплуатировали уязвимости ASP.NET для удаленного выполнения кода в секторе здравоохранения.
Анализ показал, что злоумышленники использовали скомпрометированные Machine Keys - ключи шифрования веб-приложений ASP.NET - для подписи вредоносных модулей. Эти ключи часто остаются статичными в производственных средах из-за повторного использования кода, что делает их легкой мишенью. Эксплуатация начинается с внедрения вредоносного кода через параметр __VIEWSTATE, который обрабатывается сервером при каждом HTTP-запросе. С помощью инструментов вроде ysoserial.net злоумышленники генерируют специализированные гаджеты .NET, такие как XamlAssemblyLoadFromFile, которые загружают и исполняют .NET-сборки непосредственно в памяти процесса w3wp.exe. Это создает "одноразовый" механизм атаки: каждая команда требует отдельного запроса, но не оставляет артефактов для традиционных средств защиты.
В ходе расследования выявлены пять основных .NET-сборок, используемых для постэксплуатации. Среди них - модули для выполнения команд cmd.exe, загрузки файлов на сервер (File Upload), проверки успешности эксплуатации (Winner), скачивания данных (File Download) и рефлексивной загрузки кода (Reflective Loader). Анализ кода показал простые методы маскировки: например, XOR-шифрование с ключом "x" для скрытия передаваемых данных и принудительное завершение HTTP-ответов через httpContext.response.End(), чтобы снизить логгирование ошибок. Инструменты активно развиваются: например, утилита updf (замаскированная под редактор PDF) применяет эксплойт GodPotato для эскалации привилегий до уровня SYSTEM и создания скрытых учетных записей администраторов.
Период активных атак пришелся на октябрь 2024 - март 2025 года. После получения доступа TGR-CRI-0045 проводили разведку через стандартные команды Windows: tasklist для анализа процессов, ipconfig /all для сетевых настроек, nltest /domain_trusts для изучения доменных доверий. Для сканирования сети использовали портативную утилиту TxPortMap на Golang, а инструменты размещали во временной директории C:\Windows\Temp\111t, удаляя их после выполнения задач. Интересно, что загрузка файлов часто сопровождалась переименованием: например, файл "tx2" превращался в "txp.exe", что указывает на тактику уклонения от обнаружения.
Атрибуция Gold Melody подтверждается совпадением индикаторов компрометации (IoCs), тактик (TTPs) и профилей жертв. Группа демонстрирует оппортунистический подход, атакуя организации со статичными Machine Keys. Последствия таких атак серьезны: "бесшумный" доступ позволяет IAB долгое время оставаться незамеченными, перепродавая доступ другим угрозам, включая ransomware-группировки. Критическая уязвимость кроется в логировании: большинство систем не регистрируют POST-запросы, содержащие крупные параметры __VIEWSTATE, что делает атаки "невидимыми" для стандартного мониторинга. Единственный потенциальный индикатор - события Event ID 1316 в журналах ASP.NET, фиксирующие ошибки десериализации.
Главный вывод для "синих команд" - отсутствие веб-шеллов не гарантирует безопасность. Каждый запрос с вредоносным __VIEWSTATE может быть скрытой командой, а динамическая генерация ключей и сегментация приложений критически важны. Угроза подчеркивает растущую тенденцию: киберпреступники активно перенимают продвинутые техники резидентных атак, требующие от ИБ-специалистов глубокого понимания внутренних процессов .NET и инфраструктуры IIS. Игнорирование этих рисков может привести к длительным, незамеченным компрометациям с фатальными последствиями для бизнеса. При подозрении на взлом Unit 42 настоятельно рекомендует обращаться в их Incident Response-команду для кризисного реагирования.
Индикаторы компрометации
IPv4
- 109.176.229.89
- 138.199.21.243
- 169.150.198.91
- 190.211.254.95
- 194.114.136.95
- 194.5.82.11
- 195.123.240.233
- 213.252.232.237
- 67.43.234.96
- 98.159.108.69
SHA256
- 106506ebc7156be116fe5d2a4d662917ddbbfb286007b6ee7a2b01c9536b1ee4
- 18a90b3702776b23f87738b26002e013301f60d9801d83985a57664b133cadd1
- 52a72f899991506d2b1df958dd8736f7baa26592d664b771c3c3dbaef8d3114a
- 55656f7b2817087183ceedeb4d9b78d3abee02409666bffbe180d6ea87ee20fb
- 87bd7e24af5f10fe1e01cfa640ce26e9160b0e0e13488d7ee655e83118d16697
- b3c085672ac34f1b738879096af5fcd748953116e319367e6e371034366eaeca
- c1f66cadc1941b566e2edad0d1f288c93bf060eef383c79638306638b6cefdf8
- d3767be11d9b211e74645bf434c9a5974b421cb96ec40d856f4b232a5ef9e56d
- d4bfaf3fd3d3b670f585114b4619aaf9b10173c5b1e92d42be0611b6a9b1eff2
- d5d0772cb90d54ac3e3093c1ea9fcd7b878663f7ddd1f96efea0725ce47d46d5
- f368ec59fb970cc23f955f127016594e2c72de168c776ae8a3f9c21681860e9c
