El primer corredor de acceso (IAB), conocido como Melody Gold, se atribuye a una campaña en la que filtran las claves de la máquina ASP.NET para obtener acceso no autorizado a sus organizaciones y obtener acceso a otras personas de acceso a amenazas.
Esta actividad es rastreada por la unidad de Palo Alto Networks 42 bajo el apodo TGR-CRI-0045, en el que «TGR» representa «grupos temporales» y «CRI». El grupo de piratería también se conoce como el Profeta Spider y UNC961, y una de sus herramientas también es utilizada por un corredor de acceso temprano llamado Timaker.
«El grupo parece seguir un enfoque oportunista, pero ataca a las organizaciones europeas y estadounidenses en las siguientes industrias: servicios financieros, fabricación, mayorista y minorista, alta tecnología, transporte y logística».
Microsoft documentó por primera vez el abuso de la máquina ASP.NET de Wild en febrero de 2025, diciendo que la compañía ha identificado tales claves públicas que pueden ser armadas para ver más de 3.000 de esas claves públicas, lo que finalmente lleva a la ejecución de código arbitrario.
La primera indicación de estos ataques fue detectada por Windows Maker en diciembre de 2024. Aprovechó las teclas de la máquina ASP.NET estática que están disponibles públicamente para enemigos desconocidos, inyectando código malicioso y proporcionando un marco de Godzilla después de la explosión.
Según un análisis de la Unidad 42, TGR-CRI-0045 sigue un modus operandi similar, utilizando claves filtradas para firmar cargas útiles maliciosas que proporcionan acceso no autorizado al servidor de destino, una técnica conocida como degase de estado de vista ASP.NET.
«Esta técnica permitió a IAB ejecutar directamente las cargas útiles maliciosas en la memoria del servidor, minimizando la presencia del disco, dejando casi todos los artefactos forenses, lo que dificulta aún más la detección», dijo la compañía de seguridad cibernética, encontrando evidencia de explotación temprana en octubre de 2024.
A diferencia de los implantes de shell web tradicionales y las cargas útiles basadas en archivos, este enfoque de residente de memoria evita muchas soluciones EDR heredadas que dependen de los sistemas de archivos o los artefactos de procesos de árboles. Las organizaciones que dependen únicamente del monitoreo de la integridad de archivos o las firmas antivirus pueden perder las intrusiones por completo, y puede ser importante implementar la detección de comportamiento basado en patrones de solicitud de IIS anómalos, procesos infantiles generados por w3wp.exe o cambios repentinos en el comportamiento de las aplicaciones .NET.
Se dice que se detectó un aumento significativo en la actividad entre finales de enero y marzo de 2025. Mientras tanto, los ataques han llevado a la implementación de programas C# personalizados, como herramientas posteriores a la explosión, como escáneres de puertos de código abierto y UPDF para la escalada de privilegios locales.
En al menos dos incidentes observados en la Unidad 42, el ataque se caracteriza por una ejecución de shell de comando que se origina en un servidor web de servicios de información de Internet (IIS). Otro aspecto notable es que es probable que construyan un generador de carga útil .NET de código abierto llamado ysoserial.net y cargas útiles.
Estas cargas útiles de la protección del Estado View y activan la ejecución de ensamblados .NET en memoria. Hasta ahora, se han identificado cinco módulos II diferentes como cargados en la memoria –
CMD/C se ejecuta en el shell de comandos del sistema y se utiliza para pasar comandos que ejecuten cualquier instrucción en las cargas de archivos del servidor. Esto le permite cargar el archivo en el servidor especificando un búfer de bytes que contiene el archivo de contenido del archivo. Cargador reflectante (no recuperado). Esto parece actuar como un cargador reflectante para cargar y ejecutar dinámicamente ensamblajes .NET adicionales en la memoria sin dejar el sendero
«Entre octubre de 2024 y enero de 2025, las actividades de los actores de amenaza se centraron principalmente en la explotación del sistema, el despliegue de módulos como los damas de exploit y el desempeño de reconocimiento básico de concha», dijo la Unidad 42. «Las actividades posteriores a la explosión implican principalmente el reconocimiento de hosts comprometidos y redes circundantes».
Otras herramientas descargadas al sistema incluyen un binario ELF («195.123.240 (.) 233: 443») de un servidor externo llamado ELF Binary («195.123.240 (.) 233: 443») y un escáner de puerto Golang llamado TXPORTMAP, que mapea las redes internas para identificar posibles objetivos explotadores.
«TGR-CRI-0045 utiliza un enfoque simple para ver la visualización de la visualización y la carga de un solo ensamblaje de estado directamente», dijeron los investigadores. «Cada comando requiere la reutilización y la revocación del ensamblaje (por ejemplo, ejecute el ensamblaje de carga de archivos varias veces)».
«La vulnerabilidad de las superficies de desaudación a través de las claves de la máquina expuesta en las vistas de ASP.NET permite una presencia mínima en el disco y un acceso a largo plazo. La orientación oportunista y el desarrollo de herramientas en curso destacan la identificación y la priorización de la clave de la máquina comprometida de las organizaciones».
La campaña también destaca una amplia gama de amenazas importantes de exposición a la criptográfica, incluidas las políticas de generación de escamas automáticas bajas, la validación MAC faltante y los valores predeterminados inestables para aplicaciones ASP.NET mayores. Ayuda a las organizaciones a construir estrategias de protección de identidad y APPSEC más resistentes, incluidos los riesgos de integridad de cifrado, la manipulación MAC de ViewState y el abuso de middleware de IIS.
Source link
