11/07/25
.avif)
Специалисты Palo Alto Networks Unit 42 раскрыли новую вредоносную кампанию группировки Gold Melody. Группу также называют Prophet Spider и UNC961, а одна из используемых ими утилит также была замечена у торговца ToyMaker.
Особенность их метода заключается в эксплуатации утечек ASP.NET machine key — криптографических ключей, применяемых для обеспечения целостности и безопасности данных в .NET-приложениях, пишет Securitylab. Microsoft зафиксировала массовое появление более 3000 подобных утечек ещё в феврале 2025 года. Эти ключи использовались злоумышленниками для внедрения вредоносного кода в ViewState — механизм, сохраняющий состояние страницы ASP.NET между запросами. С помощью подделки подписи и ViewState-десериализации удавалось запускать вредоносные сборки напрямую в памяти сервера, не оставляя следов на диске и обходя защиту, основанную на анализе файлов или процессов.
Первая активность кампании была зафиксирована в октябре 2024 года, а всплеск заражений пришёлся на период с конца января по март 2025 года. Целями атак стали компании из США и Европы, преимущественно в сферах финансов, логистики, высоких технологий, производства, а также оптовой и розничной торговли. Выбор жертв выглядел скорее случайным, что говорит об оппортунистическом подходе группы.
В отличие от традиционных способов доступа, таких как веб-оболочки или файлы на сервере, метод, использованный TGR-CRI-0045, базировался на запуске вредоносных компонентов исключительно в оперативной памяти. Такая техника снижает вероятность обнаружения и делает защиту от неё сложной задачей. Особенно уязвимы оказались те организации, которые полагаются только на антивирусные базы сигнатур или контроль целостности файлов.
В ходе анализа были выявлены пять видов модулей, загружаемых в память через скомпрометированные IIS-серверы:
- Cmd /c — выполнение команд через оболочку Windows;
- File upload — загрузка произвольных файлов на сервер;
- Winner — возможно, проверка успешности взлома;
- File download — загрузка данных с сервера (модуль не был извлечён);
- Reflective loader — предположительно используется для запуска .NET-сборок без сохранения на диск.
Особое внимание привлекло использование популярного инструмента ysoserial.net с модулем ViewState, предназначенного для генерации вредоносных .NET-полей, обходящих стандартную защиту ASP.NET. Для закрепления в системе злоумышленники применяли такие инструменты, как сканеры портов, C#-программы с функциями повышения привилегий, бинарные файлы ELF и сетевые утилиты, загруженные с внешнего сервера.
Команда Unit 42 подчёркивает, что каждый новый запуск вредоносной команды требует повторной загрузки компонента в память сервера, что говорит о намеренном избегании устойчивых механизмов присутствия и попытке скрыться от стандартных средств защиты. Такой подход позволяет злоумышленникам действовать продолжительно, не оставляя значимых артефактов для анализа.
