Gold Melody olarak bilinen İlk Erişim Aracısı (IAB), sızdırılan ASP.NET makine anahtarlarını kullanarak kuruluşlara yetkisiz erişim elde eden ve bu erişimi diğer tehdit aktörlerine satan bir kampanyaya atfedildi.
Faaliyet, Palo Alto Networks 42. Birimi tarafından TGR-CRI-0045 takma adıyla takip ediliyor . Burada “TGR”, “geçici grup” anlamına gelirken, “CRI” suç motivasyonunu ifade ediyor. Hacker grubu aynı zamanda Prophet Spider ve UNC961 olarak da biliniyor ve araçlarından biri de ToyMaker adlı bir ilk erişim aracısı tarafından kullanılıyor .
Araştırmacılar Tom Marsden ve Chema Garcia, “Grup fırsatçı bir yaklaşım izliyor gibi görünse de Avrupa ve ABD’deki şu sektörlerdeki kuruluşlara saldırdı: finansal hizmetler, imalat, toptan ve perakende, yüksek teknoloji, ulaştırma ve lojistik” dedi .
ASP.NET makine anahtarlarının vahşi doğada kötüye kullanımı ilk olarak Microsoft tarafından Şubat 2025’te belgelendi ve şirket, ViewState kod enjeksiyon saldırıları için silah olarak kullanılabilecek 3.000’den fazla kamuya açık anahtar tespit ettiğini ve bunun da nihayetinde keyfi kod yürütülmesine yol açtığını belirtti.
Bu saldırıların ilk işareti, Windows üreticisi tarafından Aralık 2024’te, bilinmeyen bir saldırganın kötü amaçlı kod enjekte etmek ve Godzilla istismar sonrası çerçevesini sunmak için halka açık, statik bir ASP.NET makine anahtarını kullandığında tespit edildi.
42. Ünitenin analizi, TGR-CRI-0045’in de benzer bir çalışma biçimini izlediğini, hedeflenen sunuculara yetkisiz erişim sağlayan kötü amaçlı yükleri imzalamak için sızdırılan anahtarları kullandığını, bu tekniğe ASP.NET ViewState serileştirmesi adı verildiğini gösteriyor.
Siber güvenlik şirketi, “Bu teknik, IAB’nin kötü amaçlı yükleri doğrudan sunucu belleğinde yürütmesine, diskteki varlıklarını en aza indirmesine ve çok az adli eser bırakmasına olanak tanıyarak tespiti daha zor hale getirmesine olanak sağladı” dedi ve en erken istismarın kanıtını Ekim 2024’te bulduğunu ekledi.
Geleneksel web kabuğu implantları veya dosya tabanlı yüklerin aksine, bu bellekte yerleşik yaklaşım, dosya sistemi veya işlem ağacı yapıtlarına dayanan birçok eski EDR çözümünü atlar. Yalnızca dosya bütünlüğü izleme veya antivirüs imzalarına güvenen kuruluşlar, saldırıyı tamamen gözden kaçırabilir; bu da anormal IIS istek kalıplarına, w3wp.exe tarafından oluşturulan alt işlemlere veya .NET uygulama davranışındaki ani değişikliklere dayalı davranışsal tespitlerin uygulanmasını kritik hale getirir.
Ocak sonu ile Mart 2025 arasında önemli bir aktivite artışının tespit edildiği ve bu dönemde saldırıların açık kaynaklı port tarayıcıları ve yerel ayrıcalık yükseltme için updf gibi özel C# programları gibi istismar sonrası araçların konuşlandırılmasına yol açtığı söyleniyor.
42. Birim tarafından gözlemlenen en az iki olayda, saldırılar Internet Information Services (IIS) web sunucularından kaynaklanan komut kabuğu yürütmeleriyle karakterize edildi. Dikkat çeken bir diğer husus ise, yükleri oluşturmak için ysoserial.net adlı açık kaynaklı bir .NET serileştirme yük oluşturucusunun ve ViewState eklentisinin kullanılması ihtimalidir.
Bu yükler, ViewState korumalarını atlatır ve bellekte bir .NET derlemesinin yürütülmesini tetikler. Şimdiye kadar belleğe yüklenen beş farklı IIS modülü tespit edildi –
- Sistemin komut kabuğuna çalıştırılacak bir komutu geçirmek ve sunucuda keyfi talimatları yürütmek için kullanılan Cmd /c
- Dosya yükleme, hedef dosya yolunu ve dosyanın içeriğini içeren bir bayt arabelleğini belirterek dosyaları sunucuya yüklemeye olanak tanır
- Başarılı bir sömürü için muhtemelen bir kontrol olan kazanan
- Saldırganın tehlikeye atılmış sunucudan hassas verileri almasına olanak tanıyan bir indirici gibi görünen dosya indirme (kurtarılamadı)
- Yansıtıcı yükleyici (kurtarılmamış), iz bırakmadan bellekte ek .NET derlemelerini dinamik olarak yüklemek ve yürütmek için yansıtıcı bir yükleyici gibi davranıyor gibi görünüyor
42. Birim, “Ekim 2024 ile Ocak 2025 arasında, tehdit aktörünün faaliyetleri ağırlıklı olarak sistemleri istismar etmeye, istismar denetleyicisi gibi modülleri konuşlandırmaya ve temel kabuk keşifleri gerçekleştirmeye odaklandı,” dedi. “Saldırı sonrası faaliyetler, öncelikle ele geçirilen ana bilgisayarın ve çevresindeki ağın keşfini içeriyordu.”
Sistemlere indirilen diğer araçlar arasında, harici bir sunucudan atm adlı bir ELF ikili dosyası (“195.123.240[.]233:443”) ve dahili ağı haritalamak ve potansiyel istismar hedeflerini belirlemek için TXPortMap adlı bir Golang port tarayıcısı yer alıyor.
Araştırmacılar, “TGR-CRI-0045, ViewState’i kullanmak için basitleştirilmiş bir yaklaşım kullanıyor ve tek bir durum bilgisi olmayan derlemeyi doğrudan yüklüyor,” diye belirtti. “Her komut çalıştırması, derlemenin yeniden kullanılmasını ve yeniden yüklenmesini gerektirir (örneğin, dosya yükleme derlemesini birden çok kez çalıştırma).”
“ASP.NET View State serileştirme açıklarından, açığa çıkmış Makine Anahtarları aracılığıyla yararlanmak, diskte minimum düzeyde varlık sağlar ve uzun vadeli erişime olanak tanır. Grubun fırsatçı hedeflemesi ve sürekli araç geliştirme çalışmaları, kuruluşların tehlikeye atılmış Makine Anahtarlarını tespit edip düzeltmeye öncelik vermesi gerektiğini vurgulamaktadır.”
Bu kampanya, zayıf makine anahtarı oluşturma politikaları, eksik MAC doğrulaması ve eski ASP.NET uygulamalarındaki güvenli olmayan varsayılanlar da dahil olmak üzere daha geniş bir kriptografik anahtar ifşa tehditleri kategorisini de vurgulamaktadır. Dahili tehdit modellerinin kriptografik bütünlük risklerini, ViewState MAC kurcalamasını ve IIS ara yazılım kötüye kullanımını da kapsayacak şekilde genişletilmesi, kuruluşların daha dayanıklı AppSec ve kimlik koruma stratejileri oluşturmasına yardımcı olabilir.
