Olarak bilinen ilk erişim brokeri (IAB) Altın melodi kuruluşlara yetkisiz erişim elde etmek ve diğer tehdit aktörlerine erişim sağlayan bölünmüş ASP.NET makine anahtarlarından sızan bir kampanyaya atfedilmiştir.
Etkinlik, takma adın altında Palo Alto Networks Birimi 42 tarafından izleniyor TGR-CRI-0045“TGR”, “geçici grup” ve “CRI” anlamına gelir, suç motivasyonunu ifade eder. Hacking Grubu, Peygamber Spider ve UNC961 olarak da bilinir ve araçlarından biri Toyero olarak adlandırılan bir başlangıç erişim brokeri tarafından da kullanılır.
Araştırmacılar Tom Marsden ve Chema Garcia, “Grup fırsatçı bir yaklaşım izliyor gibi görünüyor, ancak aşağıdaki endüstrilerdeki Avrupa ve ABD’deki organizasyonlara saldırdı: finansal hizmetler, üretim, toptan ve perakende, yüksek teknoloji ve ulaşım ve lojistik” dedi.
Wild’daki ASP.NET makine anahtarlarının kötüye kullanılması ilk olarak Microsoft tarafından Şubat 2025’te belgelendi ve şirket, ViewState kodu enjeksiyon saldırıları için silahlandırılabilecek 3.000’den fazla kamuya açık anahtar tanımladığını ve sonuçta keyfi kod uygulamasına yol açtığını belirtti.
Bu saldırıların ilk işareti, bilinmeyen bir düşmanın kötü amaçlı kod enjekte etmek ve Godzilla Sıkıştırma Sonrası Çerçevesini sunmak için halka açık, statik bir ASP.NET makine anahtarından yararlandığı Aralık 2024’te Windows Maker tarafından tespit edildi.
Ünite 42’nin analizi, TGR-CRI-0045’in benzer bir modus operandi izlediğini ve ASP.NET ViewState Deseralizasyon olarak bilinen bir teknik olan hedeflenen sunuculara yetkisiz erişim sağlayan kötü niyetli yükler imzalamak için sızdırılmış anahtarları kullandığını göstermektedir.
Siber güvenlik şirketi, “Bu teknik, IAB’nin doğrudan sunucu belleğinde kötü niyetli yükler yürütmesini sağladı, disk içi varlıklarını en aza indirdi ve az sayıda adli eser bırakarak tespiti daha zor hale getirdi.” Dedi.
Geleneksel web kabuğu implantlarından veya dosya tabanlı yüklerden farklı olarak, bu bellek yerleşik yaklaşımı, dosya sistemine veya işlem ağacı eserlerine dayanan birçok eski EDR çözümünü atlar. Yalnızca dosya bütünlüğü izleme veya antivirüs imzalarına dayanan kuruluşlar, izinsiz girişi tamamen kaçırabilir, bu da anormal IIS istek modellerine, W3WP.EXE tarafından ortaya çıkan alt süreçlere veya .NET uygulama davranışında ani değişikliklere dayalı davranışsal tespitlerin uygulanmasını kritik hale getirebilir.
Etkinlikte önemli bir artış, Ocak ve Mart 2025 arasında tespit edildiği söyleniyor, bu süre zarfında saldırılar, açık kaynaklı bağlantı noktası tarayıcıları ve yerel ayrıcalık artışı için UPDF gibi ısmarlama C# programları gibi atama sonrası araçların konuşlandırılmasına yol açtı.
Ünite 42 tarafından gözlemlenen en az iki olayda saldırılar, İnternet Bilgi Hizmetleri (IIS) Web sunucularından kaynaklanan komut kabuğu yürütme ile karakterize edilir. Bir başka dikkate değer husus, yükleri oluşturmak için ysoserial.net adlı açık kaynaklı bir .NET seansizasyon yükü jeneratörünün kullanılmasıdır.
Bu yükler, ViewState korumalarını atlar ve bir .NET derlemesinin belleğe yürütülmesini tetikler. Beş farklı IIS modülü, şimdiye kadar belleğe yüklenmiş olarak tanımlanmıştır –
- CMD /C, sistemin komut kabuğuna yürütülmesi ve sunucudaki keyfi talimatları yürütmesi için kullanılan CMD /C
- Bir hedef dosya yolu ve dosyanın içeriğini içeren bir bayt arabelleğini belirleyerek dosyayı sunucuya yüklemeye izin veren dosya yükleme
- Kazanan, muhtemelen başarılı bir sömürü için bir kontrol
- Bir saldırganın tehlikeye atılan sunucudan hassas verileri almasına izin veren bir indirici gibi görünen dosya indir (kurtarılmamış)
- Görünüşe göre bir iz bırakmadan bellekte ek .NET düzeneklerini dinamik olarak yüklemek ve yürütmek için yansıtıcı bir yükleyici görevi gören yansıtıcı yükleyici (kurtarılmamış)
Ünite 42, “Ekim 2024 ve Ocak 2025 arasında, tehdit oyuncunun faaliyeti öncelikle sistemlerden yararlanmaya, istismar denetleyicisi gibi modülleri dağıtmaya ve temel kabuk keşiflerini gerçekleştirmeye odaklandı.” Dedi. “Sizleme sonrası faaliyet öncelikle tehlikeye atılan ev sahibi ve çevresindeki ağın keşiflerini içeriyordu.”
Sistemlere indirilen diğer araçlardan bazıları, harici bir sunucudan ATM adlı bir ELF ikili olarak adlandırılmıştır (“195.123.240[.]233: 443 “) ve Dahili Ağı haritalamak ve potansiyel sömürü hedeflerini belirlemek için Txportmap adlı bir Golang port tarayıcısı.
Araştırmacılar, “TGR-CRI-0045, ViewState Sömürü için basit bir yaklaşım kullanıyor ve tek bir vatansız montajı doğrudan yüklüyor.” “Her komut yürütme, yeniden sömürü ve montajı yeniden yüklemeyi gerektirir (örn. Dosya yükleme montajını birden çok kez çalıştırır).”
“ASP.NET Görünüm Durumu Durum Durumu Güvenlik Açıklarını Açıkta kalan makine anahtarları yoluyla kullanmak, minimum diskte varlığa izin verir ve uzun vadeli erişim sağlar. Grubun fırsatçı hedefleme ve devam eden araç geliştirme, kuruluşların uzlaştırılmış makine anahtarlarını tanımlama ve iyileştirme önceliklendirme ihtiyacını vurgular.”
Bu kampanya aynı zamanda zayıf makineyen üretimi politikaları, eksik MAC validasyonu ve eski ASP.NET uygulamalarında güvensiz varsayılanlar da dahil olmak üzere daha geniş bir şifreli anahtar maruziyet tehditleri kategorisini vurgulamaktadır. İç tehdit modellerinin kriptografik bütünlük risklerini içerecek şekilde genişletilmesi, ViewState MAC kurcalama ve IIS ara katman yazılımı kötüye kullanımı kuruluşların daha esnek uygulama ve kimlik koruma stratejileri oluşturmasına yardımcı olabilir.