Microsoft раскрыла слабость ViewState — и киберпреступники переписали правила входа
NewsMakerASP.NET стал лазейкой для теневых групп.
Специалисты Palo Alto Networks Unit 42 раскрыли новую вредоносную кампанию группировки Gold Melody . Данная группа занимается получением несанкционированного доступа к корпоративным системам и последующей перепродажей такого доступа другим киберпреступникам. Группу также называют Prophet Spider и UNC961, а одна из используемых ими утилит также была замечена у брокера ToyMaker.
Особенность их метода заключается в эксплуатации утечек ASP.NET machine key — криптографических ключей, применяемых для обеспечения целостности и безопасности данных в .NET-приложениях. Microsoft зафиксировала массовое появление более 3000 подобных утечек ещё в феврале 2025 года. Эти ключи использовались злоумышленниками для внедрения вредоносного кода в ViewState — механизм, сохраняющий состояние страницы ASP.NET между запросами. С помощью подделки подписи и ViewState-десериализации удавалось запускать вредоносные сборки напрямую в памяти сервера, не оставляя следов на диске и обходя защиту, основанную на анализе файлов или процессов.
Первая активность кампании была зафиксирована в октябре 2024 года, а всплеск заражений пришёлся на период с конца января по март 2025 года. Целями атак стали компании из США и Европы, преимущественно в сферах финансов, логистики, высоких технологий, производства, а также оптовой и розничной торговли. Выбор жертв выглядел скорее случайным, что говорит об оппортунистическом подходе группы.
В отличие от традиционных способов доступа, таких как веб-оболочки или файлы на сервере, метод, использованный TGR-CRI-0045, базировался на запуске вредоносных компонентов исключительно в оперативной памяти. Такая техника снижает вероятность обнаружения и делает защиту от неё сложной задачей. Особенно уязвимы оказались те организации, которые полагаются только на антивирусные базы сигнатур или контроль целостности файлов.
В ходе анализа были выявлены пять видов модулей, загружаемых в память через скомпрометированные IIS-серверы:
Команда Unit 42 подчёркивает, что каждый новый запуск вредоносной команды требует повторной загрузки компонента в память сервера, что говорит о намеренном избегании устойчивых механизмов присутствия и попытке скрыться от стандартных средств защиты. Такой подход позволяет злоумышленникам действовать продолжительно, не оставляя значимых артефактов для анализа.
В ходе кампании также были выявлены серьёзные проблемы в архитектуре безопасности старых версий ASP.NET: использование слабых ключей, отсутствие контроля целостности и незащищённые конфигурации открыли новые векторы атак. Специалисты рекомендуют организациям пересмотреть свои внутренние модели угроз, включив в них риски, связанные с нарушением криптографической целостности и уязвимостями в промежуточном ПО IIS.
Специалисты Palo Alto Networks Unit 42 раскрыли новую вредоносную кампанию группировки Gold Melody . Данная группа занимается получением несанкционированного доступа к корпоративным системам и последующей перепродажей такого доступа другим киберпреступникам. Группу также называют Prophet Spider и UNC961, а одна из используемых ими утилит также была замечена у брокера ToyMaker.
Особенность их метода заключается в эксплуатации утечек ASP.NET machine key — криптографических ключей, применяемых для обеспечения целостности и безопасности данных в .NET-приложениях. Microsoft зафиксировала массовое появление более 3000 подобных утечек ещё в феврале 2025 года. Эти ключи использовались злоумышленниками для внедрения вредоносного кода в ViewState — механизм, сохраняющий состояние страницы ASP.NET между запросами. С помощью подделки подписи и ViewState-десериализации удавалось запускать вредоносные сборки напрямую в памяти сервера, не оставляя следов на диске и обходя защиту, основанную на анализе файлов или процессов.
Первая активность кампании была зафиксирована в октябре 2024 года, а всплеск заражений пришёлся на период с конца января по март 2025 года. Целями атак стали компании из США и Европы, преимущественно в сферах финансов, логистики, высоких технологий, производства, а также оптовой и розничной торговли. Выбор жертв выглядел скорее случайным, что говорит об оппортунистическом подходе группы.
В отличие от традиционных способов доступа, таких как веб-оболочки или файлы на сервере, метод, использованный TGR-CRI-0045, базировался на запуске вредоносных компонентов исключительно в оперативной памяти. Такая техника снижает вероятность обнаружения и делает защиту от неё сложной задачей. Особенно уязвимы оказались те организации, которые полагаются только на антивирусные базы сигнатур или контроль целостности файлов.
В ходе анализа были выявлены пять видов модулей, загружаемых в память через скомпрометированные IIS-серверы:
- Cmd /c — выполнение команд через оболочку Windows;
- File upload — загрузка произвольных файлов на сервер;
- Winner — возможно, проверка успешности взлома;
- File download — загрузка данных с сервера (модуль не был извлечён);
- Reflective loader — предположительно используется для запуска .NET-сборок без сохранения на диск.
Команда Unit 42 подчёркивает, что каждый новый запуск вредоносной команды требует повторной загрузки компонента в память сервера, что говорит о намеренном избегании устойчивых механизмов присутствия и попытке скрыться от стандартных средств защиты. Такой подход позволяет злоумышленникам действовать продолжительно, не оставляя значимых артефактов для анализа.
В ходе кампании также были выявлены серьёзные проблемы в архитектуре безопасности старых версий ASP.NET: использование слабых ключей, отсутствие контроля целостности и незащищённые конфигурации открыли новые векторы атак. Специалисты рекомендуют организациям пересмотреть свои внутренние модели угроз, включив в них риски, связанные с нарушением криптографической целостности и уязвимостями в промежуточном ПО IIS.