O Initial Access Broker (IAB) conhecido como Gold Melody foi atribuído a uma campanha que explora chaves de máquina ASP.NET vazadas para obter acesso não autorizado a organizações e vender esse acesso a outros atores de ameaças.
A atividade está sendo rastreada pela Palo Alto Networks Unit 42 sob o codinome TGR-CRI-0045, onde "TGR" significa "grupo temporário" e "CRI" refere-se a motivação criminal.
O grupo de hacking também é conhecido como Prophet Spider e UNC961, com uma de suas ferramentas também sendo usada por um initial access broker chamado ToyMaker.
"O grupo parece seguir uma abordagem oportunista, mas atacou organizações na Europa e nos EUA nas seguintes indústrias: serviços financeiros, manufatura, atacado e varejo, alta tecnologia e transporte e logística", disseram os pesquisadores Tom Marsden e Chema Garcia.
O abuso de chaves de máquina ASP.NET no campo foi documentado pela primeira vez pela Microsoft em fevereiro de 2025, com a empresa observando que havia identificado mais de 3.000 dessas chaves divulgadas publicamente que poderiam ser armadas para ataques de injeção de código ViewState, levando finalmente a execução arbitrária de código.
O primeiro sinal desses ataques foi detectado pela fabricante do Windows em dezembro de 2024, quando um adversário desconhecido aproveitou uma chave de máquina ASP.NET estática e disponível publicamente para injetar código malicioso e entregar o framework de pós-exploração Godzilla.
A análise da Unit 42 mostra que o TGR-CRI-0045 está seguindo um modus operandi semelhante, empregando as chaves vazadas para assinar payloads maliciosos que proporcionam acesso não autorizado a servidores alvo, uma técnica conhecida como deserialização do ViewState ASP.NET.
"Essa técnica permitiu ao IAB executar payloads maliciosos diretamente na memória do servidor, minimizando sua presença em disco e deixando poucos artefatos forenses, tornando a detecção mais desafiadora", disse a empresa de cibersegurança, acrescentando que encontrou evidências da exploração mais antiga em outubro de 2024.
Ao contrário dos implantes tradicionais de web shell ou payloads baseados em arquivos, essa abordagem residente em memória contorna muitas soluções legadas de EDR que se baseiam em artefatos do sistema de arquivos ou árvore de processos.
Organizações que dependem exclusivamente de monitoramento da integridade de arquivos ou assinaturas de antivírus podem perder completamente a intrusão, tornando crítico implementar detecções comportamentais baseadas em padrões anômalos de solicitações IIS, processos filhos gerados pelo w3wp.exe ou mudanças repentinas no comportamento de aplicativos .NET.
Um aumento significativo na atividade foi dito ter sido detectado entre o final de janeiro e março de 2025, período durante o qual os ataques levaram à implantação de ferramentas de pós-exploração como scanners de porta de código aberto e programas personalizados em C# como updf para escalonamento de privilégios locais.
Em pelo menos dois incidentes observados pela Unit 42, os ataques são caracterizados pela execução de shell de comando originada de servidores web Internet Information Services (IIS).
Outro aspecto notável é o provável uso de um gerador de payload de deserialização .NET de código aberto chamado ysoserial.net e plugin ViewState para construir os payloads.
Esses payloads contornam as proteções ViewState e acionam a execução de um assembly .NET na memória.
Cinco diferentes módulos IIS foram identificados como carregados na memória até agora:
- Cmd /c, que é usado para passar um comando a ser executado para o shell de comando do sistema e executar instruções arbitrárias no servidor;
- Upload de arquivo, que permite o upload de arquivos para o servidor especificando um caminho de arquivo de destino e um buffer de byte contendo o conteúdo do arquivo;
- Winner, que provavelmente é uma verificação de exploração bem-sucedida;
- Download de arquivo (não recuperado), que parece ser um downloader que permite a um atacante recuperar dados sensíveis do servidor comprometido;
- Reflective loader (não recuperado), que aparentemente atua como um carregador reflexivo para carregar e executar dinamicamente assemblies .NET adicionais na memória sem deixar rastros
"Entre outubro de 2024 e janeiro de 2025, a atividade do ator de ameaças concentrou-se principalmente em explorar sistemas, implantar módulos — como o verificador de exploração — e realizar reconhecimento de shell básico", disse a Unit 42.
"A atividade de pós-exploração envolveu principalmente o reconhecimento do host comprometido e da rede ao redor."
Algumas das outras ferramentas baixadas nos sistemas incluem um binário ELF chamado atm de um servidor externo ("195.123.240[.]233:443") e um scanner de porta Golang chamado TXPortMap para mapear a rede interna e identificar alvos potenciais de exploração.
"TGR-CRI-0045 usa uma abordagem simplista para a exploração do ViewState, carregando um único assembly sem estado diretamente", observaram os pesquisadores.
Cada execução de comando requer reexploração e reupload do assembly (por exemplo, executando várias vezes o assembly de upload de arquivo).
Explorar vulnerabilidades de deserialização do ViewState ASP.NET via Machine Keys expostas permite uma presença mínima em disco e possibilita acesso de longo prazo.
O alvo oportunista do grupo e o desenvolvimento contínuo de ferramentas destacam a necessidade das organizações priorizarem a identificação e remediação de Machine Keys comprometidas. Esta campanha também destaca uma categoria mais ampla de ameaças de exposição de chaves criptográficas, incluindo políticas de geração de machineKey fracas, falta de validação MAC e padrões inseguros em aplicações ASP.NET mais antigas.
Expandir modelos de ameaça internos para incluir riscos de integridade criptográfica, manipulação de MAC ViewState e abuso de middleware IIS pode ajudar as organizações a construir estratégias de AppSec e proteção de identidade mais resilientes.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...