Контакты
Подписка 2025
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

Группа Gold Melody занимается продажей другим злоумышленникам несанкционированного доступа к корпоративным системам

11/07/25

photo-1719255418097-acf2f18306ce (1)

Специалисты Palo Alto Networks Unit 42 раскрыли новую вредоносную кампанию группировки Gold MelodyГруппу также называют Prophet Spider и UNC961, а одна из используемых ими утилит также была замечена у торговца ToyMaker.

Особенность их метода заключается в эксплуатации утечек ASP.NET machine key — криптографических ключей, применяемых для обеспечения целостности и безопасности данных в .NET-приложениях, пишет Securitylab. Microsoft зафиксировала массовое появление более 3000 подобных утечек ещё в феврале 2025 года. Эти ключи использовались злоумышленниками для внедрения вредоносного кода в ViewState — механизм, сохраняющий состояние страницы ASP.NET между запросами. С помощью подделки подписи и ViewState-десериализации удавалось запускать вредоносные сборки напрямую в памяти сервера, не оставляя следов на диске и обходя защиту, основанную на анализе файлов или процессов.

Первая активность кампании была зафиксирована в октябре 2024 года, а всплеск заражений пришёлся на период с конца января по март 2025 года. Целями атак стали компании из США и Европы, преимущественно в сферах финансов, логистики, высоких технологий, производства, а также оптовой и розничной торговли. Выбор жертв выглядел скорее случайным, что говорит об оппортунистическом подходе группы.

В отличие от традиционных способов доступа, таких как веб-оболочки или файлы на сервере, метод, использованный TGR-CRI-0045, базировался на запуске вредоносных компонентов исключительно в оперативной памяти. Такая техника снижает вероятность обнаружения и делает защиту от неё сложной задачей. Особенно уязвимы оказались те организации, которые полагаются только на антивирусные базы сигнатур или контроль целостности файлов.

В ходе анализа были выявлены пять видов модулей, загружаемых в память через скомпрометированные IIS-серверы:

  • Cmd /c — выполнение команд через оболочку Windows;
  • File upload — загрузка произвольных файлов на сервер;
  • Winner — возможно, проверка успешности взлома;
  • File download — загрузка данных с сервера (модуль не был извлечён);
  • Reflective loader — предположительно используется для запуска .NET-сборок без сохранения на диск.

Особое внимание привлекло использование популярного инструмента ysoserial.net с модулем ViewState, предназначенного для генерации вредоносных .NET-полей, обходящих стандартную защиту ASP.NET. Для закрепления в системе злоумышленники применяли такие инструменты, как сканеры портов, C#-программы с функциями повышения привилегий, бинарные файлы ELF и сетевые утилиты, загруженные с внешнего сервера.

Команда Unit 42 подчёркивает, что каждый новый запуск вредоносной команды требует повторной загрузки компонента в память сервера, что говорит о намеренном избегании устойчивых механизмов присутствия и попытке скрыться от стандартных средств защиты. Такой подход позволяет злоумышленникам действовать продолжительно, не оставляя значимых артефактов для анализа.

Темы:Угрозыдоступ на продажуPalo Alto Unit 47
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...