De initiële toegangsmakelaar (IAB) bekend als Goudmelodie is toegeschreven aan een campagne die exploiteert, lekte ASP.NET -machinetoetsen om ongeautoriseerde toegang tot organisaties te verkrijgen en die toegang tot andere dreigingsactoren te pedken.
De activiteit wordt gevolgd door Palo Alto Networks Unit 42 onder de naam TGR-CRI-0045waar “TGR” staat voor “tijdelijke groep” en “CRI” verwijst naar criminele motivatie. De hackgroep staat ook bekend als Prophet Spider en UNC961, met een van zijn tools die ook worden gebruikt door een initiële toegangsmakelaar genaamd Tymaker.
“De groep lijkt een opportunistische aanpak te volgen, maar heeft organisaties in Europa en de VS aangevallen in de volgende industrieën: financiële diensten, productie, groothandel en detailhandel, hoge technologie en transport en logistiek,” zeiden onderzoekers Tom Marsden en Chema Garcia.
Het misbruik van ASP.NET -machinetoetsen in het wild werd voor het eerst gedocumenteerd door Microsoft in februari 2025, waarbij het bedrijf opmerkte dat het meer dan 3.000 van dergelijke publiekelijk bekendgemaakte sleutels had geïdentificeerd die konden worden bewapend voor aanvallen van de viewstate code -injectie -aanvallen, wat uiteindelijk leidde tot willekeurige code -uitvoering.
Het eerste teken van deze aanvallen werd gedetecteerd door de Windows Maker in december 2024, toen een onbekende tegenstander een openbaar beschikbaar, statische ASP.NET-machine-sleutel maakte om kwaadaardige code te injecteren en het Godzilla post-exploitatie framework te leveren.
De analyse van eenheid 42 laat zien dat de TGR-CRI-0045 een vergelijkbare modus-operandi volgt, met behulp van de gelekte toetsen om kwaadaardige ladingen te ondertekenen die ongeautoriseerde toegang bieden tot gerichte servers, een techniek die bekend staat als ASP.NET ViewState Deserialisation.
“Deze techniek stelde de IAB in staat om kwaadaardige payloads direct in het servergeheugen uit te voeren, hun aanwezigheid op het gebied te minimaliseren en weinig forensische artefacten had, waardoor detectie uitdagender werd,” zei het cybersecuritybedrijf, en voegde eraan toe dat het bewijs vond van de vroegste uitbuiting in oktober 2024.
In tegenstelling tot traditionele webshell-implantaten of bestandsgebaseerde payloads, omzeilt deze geheugen-resident-aanpak veel legacy EDR-oplossingen die afhankelijk zijn van bestandssysteem- of procesboomartefacten. Organisaties die uitsluitend vertrouwen op bestandsintegriteitsmonitoring of antivirushandtekeningen kunnen de inbraak volledig missen, waardoor het van cruciaal belang is om gedragsdetecties te implementeren op basis van afwijkende IIS -aanvraagpatronen, onderliggende processen die worden voortgebracht door W3WP.exe, of plotselinge veranderingen in .NET -toepassingsgedrag.
Er wordt gezegd dat een belangrijke piek in activiteit is gedetecteerd tussen eind januari en maart 2025, gedurende welke periode de aanslagen hebben geleid tot de inzet van post-exploitatiehulpmiddelen zoals open-source poortscanners en op maat gemaakte C# -programma’s zoals UPDF voor lokale escalatie van privileges.
In ten minste twee incidenten waargenomen door eenheid 42, worden de aanvallen gekenmerkt door de uitvoering van de opdracht shell afkomstig van internetinformatie -services (IIS) webservers. Een ander opmerkelijk aspect is het waarschijnlijke gebruik van een open-source .NET Deserialization Payload Generator genaamd YSOSerial.NET en ViewState-plug-in om de payloads te bouwen.
Deze payloads omzeilen viewState -bescherming en activeren de uitvoering van een .NET -assemblage in het geheugen. Vijf verschillende IIS -modules zijn tot nu toe geïdentificeerd als in het geheugen geladen –
- CMD /C, die wordt gebruikt om een opdracht door te geven die moet worden uitgevoerd naar de opdrachtpartij van het systeem en willekeurige instructies op de server uitvoeren
- Bestandsupload, waardoor bestanden naar de server kunnen worden geüpload door een doelbestandspad en een byte -buffer met de inhoud van het bestand op te geven
- Winnaar, wat waarschijnlijk een cheque is voor succesvolle uitbuiting
- Bestand downloaden (niet hersteld), die een downloader lijkt te zijn waarmee een aanvaller gevoelige gegevens kan ophalen van de gecompromitteerde server
- Reflecterende lader (niet hersteld), die blijkbaar fungeert als een reflecterende lader om extra .NET -assemblages in het geheugen dynamisch te laden en uit te voeren zonder een spoor te verlaten
“Tussen oktober 2024 en januari 2025 was de activiteit van de dreigingsacteur zich voornamelijk gericht op het exploiteren van systemen, het inzetten van modules – zoals de exploit checker – en het uitvoeren van basisverkenning van Shell,” zei Unit 42. “Post-exploitatie-activiteit heeft voornamelijk betrekking op verkenning van de gecompromitteerde host en het omliggende netwerk.”
Sommige van de andere tools die op de systemen zijn gedownload, zijn een binair binair genaamd ATM van een externe server (“195.123.240 (.) 233: 443”) en een Golang -poortscanner genaamd TXPORTMAP om het interne netwerk in kaart te brengen en potentiële exploitatiedoelen te identificeren.
“TGR-CRI-0045 maakt gebruik van een simplistische benadering van ViewState-exploitatie, waarbij een enkele, staatloze assemblage rechtstreeks wordt geladen,” merkten de onderzoekers op. “Elke opdrachtuitvoering vereist opnieuw uitbuiting en het opnieuw uploaden van de assemblage (bijvoorbeeld het uitvoeren van de bestandsuploadsamenstelling meerdere keren).”
“Het benutten van ASP.NET View States Deserialization kwetsbaarheden via blootgestelde machinetoetsen maakt minimale aanwezigheid op het gebied mogelijk en zorgt voor langdurige toegang.
Deze campagne benadrukt ook een bredere categorie van cryptografische sleutelblootstellingsbedreigingen, waaronder zwakke beleid voor het genereren van machinaten, het ontbreken van MAC -validatie en onzekere standaardwaarden in oudere ASP.NET -applicaties. Het uitbreiden van interne dreigingsmodellen met cryptografische integriteitsrisico’s, viewState Mac -knoeien en IIS middleware -misbruik kunnen organisaties helpen om veerkrachtige AppSec en identiteitsbeschermingsstrategieën te bouwen.
