В последние годы киберпреступники стремятся использовать все более изощренные методы для получения несанкционированного доступа к корпоративным и государственным информационным системам. Одним из таких угрожающих направлений является деятельность Initial Access Broker (IAB) под названием Gold Melody, который активно эксплуатирует утекшие ключи ASP.NET Machine Keys для проникновения в инфраструктуры различных организаций. Это дает им возможность продавать доступ другим злонамеренным участникам и расширять масштабы атак. Gold Melody, также известная под именами Prophet Spider и UNC961, действует довольно оппортунистично, нацеливаясь преимущественно на компании из секторов финансовых услуг, производства, оптовой и розничной торговли, высоких технологий, а также транспорта и логистики, расположенных в Европе и США.
Стратегия группы выделяется использованием уязвимостей в ASP.NET, а именно в так называемых Machine Keys — криптографических ключах, отвечающих за идентификацию целостности и безопасность сериализованного состояния ViewState. Согласно исследованиям компании Palo Alto Networks Unit 42, активность Gold Melody ведется с октября 2024 года. Этот промежуток времени совпадает с публичным раскрытием проблемы Microsoft, который выявил более трех тысяч скомпрометированных Machine Keys, доступных в открытых источниках. Это позволяет злоумышленникам подделывать подписи ViewState-переменных и выполнять вредоносный код на серверах без необходимости помещать его на диск.
Особенностью данной техники является использование уязвимости в механизме десериализации ViewState объектов ASP.NET. Машинный ключ применяется для подписи данных, чтобы предотвратить их подмену, но в случае утечки ключа хакеры могут создавать злонамеренные ViewState полезные нагрузки, которые сервер воспринимает как легитимные. Это позволяет выполнять произвольный код непосредственно в оперативной памяти сервера, что значительно затрудняет обнаружение атаки традиционными средствами безопасности — антивирусными программами или системами EDR, ориентированными на файловые следы. В реальных атаках Gold Melody использует современный набор инструментов, включая постэксплуатационные фреймворки, порт-сканеры и специализированные программы на C#, направленные на локальное повышение привилегий.
Для создания эксплойтов применяются открытые генераторы десериализации .NET, такие как ysoserial.net, и соответствующие плагины для ViewState. После успешного использования Machine Key вредоносный код может легитимно выполняться в памяти IIS веб-серверов через модули, среди которых присутствуют инструменты для удаленного исполнения команд, загрузки и выгрузки файлов, а также загрузчики дополнительных вредоносных компонентов для дальнейших этапов атаки. Такая архитектура обеспечивает минимальный след на диске и возможность длительного скрытого присутствия во взломанных системах.
Во время расследований были обнаружены случаи активного выполнения командных оболочек с IIS процессов и загрузки вспомогательных инструментов, включая бинарные файлы для Linux и сканеры сетевых портов, что говорит о широкомасштабном разведывательном характере атак и подготовке к дальнейшему развертыванию эксплойтов внутри сети жертвы. Важное значение имеет тот факт, что для каждого нового выполнения команды требуется повторное использование уязвимости и загрузка эксплойта, что свидетельствует о достаточно простой, но эффективной методике, позволяющей поддерживать постоянный контроль над сервером. Это подчеркивает необходимость регулярной смены Machine Keys и ужесточения политики их генерации в организациях. Эксплуатация утекших Machine Keys не только отражает недостатки в криптографической защите веб-приложений на базе ASP.NET, но и указывает на более широкую проблему в области управления ключами, недостаточного контроля за безопасностью конфигураций и неактуальных версий программного обеспечения.
Использование устаревших настроек, отсутствие проверки MAC и слабые политики генерации ключей создают благоприятную среду для злоумышленников. Для эффективной защиты от подобных угроз организациям необходимо внедрять многоуровневые системы мониторинга и обнаружения аномалий, ориентацию на поведенческие модели трафика IIS, а также контроль процессов, порождаемых веб-серверами. Традиционные средства защиты, опирающиеся исключительно на выявление файловых артефактов, сегодня уже неэффективны против техники, которая работает исключительно в памяти. Кроме того, критически важно актуализировать внутренние модели угроз безопасности с учетом риска компрометации криптографических ключей, особенно в контексте ViewState MAC-манипуляций и злоупотребления промежуточным программным обеспечением IIS. В рамках обеспечения безопасности приложений необходимо пересмотреть политики генерации Machine Keys, использовать динамические ключи, а при возможностях переходить на более современные, защищенные архитектурные решения.
Инциденты, связанные с Gold Melody, служат тревожным сигналом для всех организаций, работающих с ASP.NET веб-приложениями. Они показывают, что масштабные утечки смарт-ключей и их автоматизированное исследование злоумышленниками крайне опасны. Это требует от специалистов в области информационной безопасности более глубокой проработки и быстро внедрения контрмер, которые помогут минимизировать последствия подобных атак и укрепить устойчивость корпоративных цифровых активов. Таким образом, ситуация вокруг деятельности Gold Melody и связанных с ними инструментов эксплуатаций ASP.
NET Machine Keys демонстрирует необходимость постоянного обновления и мониторинга механизмов защиты, тщательного управления криптографическими ключами и применения комплексных методов обнаружения инцидентов. Только благодаря мультидисциплинарному и проактивному подходу можно построить надежную оборону против растущих угроз в киберпространстве.
