Группа Initial Access Broker Gold Melody развернула масштабную кампанию: используя утечки ключей ASP.NET machine key, хакеры проникают в корпоративные сети и продают доступ другим киберпреступникам.
Gold Melody
Эксперты по кибербезопасности ведут наблюдение за этой командой под кодовым именем TGR-CRI-0045. Аббревиатура подчеркивает временный союз и преступный мотив группы. В среде специалистов Gold Melody также известна как Prophet Spider и UNC961, а их инструменты нередко используют и другие злоумышленники — например, ToyMaker.
TGR-CRI-0045
По данным исследователей Тома Марсдена и Чемы Гарсии, эта группировка действует крайне прагматично, атакуя самые разные компании в Европе и США — от финансовых организаций и промышленных гигантов до ритейлеров, IT-компаний и транспортных фирм.
Первый публичный случай массовой эксплуатации уязвимости ASP.NET machine keys был зафиксирован Microsoft в феврале 2025 года. Специалисты компании нашли более 3 000 открыто опубликованных ключей, с помощью которых проводились инъекции через ViewState и запускался вредоносный код.
Одни из первых атак случились в декабре 2024 года, когда неизвестный злоумышленник использовал скомпрометированный статичный machine key для установки и запуска Godzilla — целой платформы, позволяющей закрепиться на сервере.
Исследователи из Unit 42 выяснили: TGR-CRI-0045 действует похожим образом — с помощью украденных ключей группа подписывает вредоносные загрузки и получает полный несанкционированный доступ к серверам. Эта техника называется десериализацией ViewState в ASP.NET.
«Такое решение позволяет запускать вредоносный код прямо в памяти сервера — практически без следов на дисках, что сильно затрудняет расследование», — отмечают эксперты. Известны эпизоды атак минимум с октября 2024 года.
В отличие от стандартных веб-шеллов или вредоносных файлов, этот способ практически не заметен для большинства защитных систем, которые отслеживают только изменения в файловой системе. Если компания ограничивается антивирусом и контролем файлов, она может даже не узнать о взломе. Вот почему важно обращать внимание на подозрительные запросы к IIS, неожиданно появляющиеся процессы w3wp.exe или странное поведение .NET-приложений.
С конца января по март 2025 года количество атак резко подскочило. Хакеры начали пользоваться открытыми инструментами: порт-сканерами и специализированными C#-программами, такими как updf, чтобы расширять свои права в системе.
В двух подтверждённых инцидентах взлом начинался с запуска командной строки прямо с серверов IIS. Ещё один характерный признак атак — использование открытой библиотеки для сборки вредоносных ViewState — ysoserial.net и соответствующего плагина.
Подобные вредоносные сборки легко обходят стандартную защиту ViewState, позволяя запускать .NET-код в памяти сервера. На данный момент эксперты знают минимум о пяти известных модулях для IIS, которые использовались в атаках:
- Cmd /c — даёт возможность запускать любые команды через родную оболочку сервера;
- File upload — позволяет загружать файлы на сервер, задав путь и бинарные данные;
- Winner — отвечает за проверку, насколько успешен взлом;
- File download (на данный момент не обнаружен) — вероятно, используется для скачивания ценных данных с сервера;
- Reflective loader (на данный момент не обнаружен) — скорее всего, внедряет дополнительные .NET-сборки в память сервера без каких-либо следов на диске.
- Cmd /c — даёт возможность запускать любые команды через родную оболочку сервера;
- File upload — позволяет загружать файлы на сервер, задав путь и бинарные данные;
- Winner — отвечает за проверку, насколько успешен взлом;
- File download (на данный момент не обнаружен) — вероятно, используется для скачивания ценных данных с сервера;
- Reflective loader (на данный момент не обнаружен) — скорее всего, внедряет дополнительные .NET-сборки в память сервера без каких-либо следов на диске.
«С октября 2024 по январь 2025 года основное внимание злоумышленников было направлено на поиск уязвимых систем, развёртывание собственных модулей и разведку инфраструктуры», — рассказывают эксперты Unit 42. — «Позже, на этапе постэксплуатации, они начинают детально изучать внутреннюю сеть компании-жертвы.»
Среди инструментов, которые хакеры скачивали на скомпрометированные серверы, обнаружили ELF-файл под названием atm с внешнего ресурса ("195.123.240[.]233:443") и написанный на Go сетевой сканер TXPortMap, который помогает картировать внутреннюю сеть и искать новые точки проникновения.
«TGR-CRI-0045 используют предельно простой сценарий: загрузили одно вредоносное .NET-сборку — выполнили команду. Для каждой новой команды уязвимость приходится эксплуатировать заново, каждый раз повторно заливая сборку на сервер (например, если нужно загрузить несколько файлов — операция повторяется столько раз, сколько требуется)», — объясняют специалисты.
«Эксплуатация уязвимости десериализации ViewState через открытые Machine Key позволяет держаться незаметно и долго сохранять доступ. Постоянное развитие инструментов и выбор всё новых целей говорят об одном: всем организациям пора срочно выявлять и удалять компрометированные ключи.»
Эта атака — тревожное напоминание о том, насколько опасны утечки криптографических ключей. В зоне риска — слабые machineKey, отсутствие проверки MAC, устаревшие конфигурации старых ASP.NET-приложений. Включение контроля целостности криптографии, учёт потенциальных манипуляций с ViewState и уязвимостей IIS в корпоративную AppSec-стратегию серьёзно усилит защиту и поможет быстрее обнаруживать угрозы.
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Премиум подписка - это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь
Также подписывайтесь на нас в:
- Telegram: https://t.me/gergenshin
- Youtube: https://www.youtube.com/@gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru