JUL 09, 2025RAVIE LAKSHMANANDYBER AMENAZA / MALware El corredor de acceso inicial (IAB) conocido como melodía de oro se ha atribuido a una campaña que explota las claves de la máquina ASP.NET para obtener el acceso no autorizado a las organizaciones y pedir que el acceso a otros actores de amenazas. La actividad está siendo rastreada por la Unidad de Palo Alto Networks 42 bajo el apodo TGR-CRI-0045, donde «TGR» significa «Grupo temporal» y «CRI» se refiere a la motivación criminal. El grupo de piratería también se conoce como Profet Spider y UNC961, con una de sus herramientas también utilizadas por un corredor de acceso inicial llamado Tymaker. «El grupo parece seguir un enfoque oportunista, pero ha atacado a las organizaciones en Europa y los Estados Unidos en las siguientes industrias: servicios financieros, fabricación, mayorista y minorista, alta tecnología y transporte y logística», dijeron los investigadores Tom Marsden y Chica García. El abuso de las claves de la máquina ASP.NET en la naturaleza fue documentado por primera vez por Microsoft en febrero de 2025, y la compañía señaló que había identificado más de 3.000 de tales claves divulgadas públicamente que podrían ser armadas para ataques de inyección de código ViewState, lo que ha llevado a la ejecución de código arbitraria. El primer signo de estos ataques fue detectado por el fabricante de Windows en diciembre de 2024, cuando un adversario desconocido aprovechó una clave de máquina ASP.NET estática disponible públicamente para inyectar código malicioso y entregar el marco de Godzilla después de la explotación. El análisis de la Unidad 42 muestra que el TGR-CRI-0045 está siguiendo un modus operandi similar, empleando las claves filtradas para firmar cargas útiles maliciosas que proporcionan acceso no autorizado a los servidores específicos, una técnica conocida como ASP.NET ViewState Deserialización. «Esta técnica permitió que la IAB ejecute cargas útiles maliciosas directamente en la memoria del servidor, minimizando su presencia en disco y dejando pocos artefactos forenses, haciendo que la detección sea más desafiante», dijo la compañía de seguridad cibernética, y agregó evidencia de explotación de la explotación más temprana en octubre de 2024. Los incrementos tradicionales de la red del sistema de shell tradicional o el sistema de archivo basado en el archivo de los archivos de los archivos. Las organizaciones que dependen únicamente del monitoreo de la integridad de archivos o las firmas de antivirus pueden perder por completo la intrusión, lo que hace que sea crítico implementar detecciones de comportamiento basadas en patrones de solicitud de IIS anómalo, procesos infantiles generados por W3WP.EXE o cambios repentinos en el comportamiento de la aplicación .NET. Se dice que se detectó un aumento significativo en la actividad entre finales de enero y marzo de 2025, durante el cual los ataques condujeron a la implementación de herramientas posteriores a la explotación, como escáneres de puertos de código abierto y programas de C# a medida como UPDF para la escalada de privilegios locales. En al menos dos incidentes observados por la Unidad 42, los ataques se caracterizan por la ejecución del shell de comandos que se originan en servidores web de Servicios de Información de Internet (IIS). Otro aspecto notable es el uso probable de un generador de carga útil .NET de código abierto llamado ysoserial.net y el complemento ViewState para construir las cargas útiles. Estas cargas útiles omiten las protecciones de ViewState y activan la ejecución de un ensamblaje de .NET en la memoria. Five different IIS modules have been identified as loaded into memory so far – Cmd /c, which is used to passing a command to be executed to the system’s command shell and execute arbitrary instructions on the server File upload, which allows for uploading files to the server by specifying a target file path and a byte buffer containing the file’s contents Winner, which is likely a check for successful exploitation File download (not recovered), which appears to be a downloader that allows an atacante para recuperar datos confidenciales del cargador reflectante del servidor comprometido (no recuperado), que aparentemente actúa como un cargador reflexivo para cargar dinámicamente y ejecutar ensamblajes de .NET adicionales en la memoria sin dejar un rastro «entre octubre de 2024 y enero de 2025, la actividad de la amenaza del actor de la amenaza se centra principalmente en sistemas explotadores, desplegando modules, como el comprobador de explosión de exposición, y realiza el rendimiento básico del shell, la unidad de reconfanación de un shell. «La actividad posterior a la explotación ha involucrado principalmente el reconocimiento del huésped comprometido y la red circundante». Algunas de las otras herramientas descargadas en los sistemas incluyen un binario ELF nombrado ATM de un servidor externo («195.123.240[.]233: 443 «) y un escáner de puerto de Golang llamado TXPortMap para mapear la red interna e identificar posibles objetivos de explotación.» TGR-CRI-0045 utiliza un enfoque simplista para ver la explotación del Estado, cargando un único ensamblaje de apácrono directamente «, los investigadores observaron». Cada ejecución de comando «requiere una re-explotación de re-explotación y la reubicación del ensamblaje (EG, por ejemplo, el ensamblaje de los archivos múltiples,» los investigadores «.» Cada ejecución de comandos «requiere la ejecución de comandos», requerir la re-explotación y volver a completar el ensamblaje (EG, el ensamblaje de los archivos múltiples, «los investigadores». ASP.NET Ver vulnerabilidades de deserialización del estado a través de claves de la máquina expuesta permite una presencia mínima en disco y permite un acceso a largo plazo. La orientación oportunista y el desarrollo continuo de la herramienta del grupo destacan la necesidad de que las organizaciones prioricen la identificación y remediar las claves de la máquina comprometidas. «Esta campaña también destaca una categoría más amplia de las amenazas de exposición de la clave criptográfica, incluidas las políticas de generación de máquinas débiles, los riesgos de la generación de máquinas débiles, la validación de MAC faltante y los incumplimientos de inseguridad en el punto de medición más antiguo. Las organizaciones crean estrategias de protección de identidad y APPSEC más resistentes.