Gold Melody kampány
A Palo Alto Networks Unit 42 kutatócsoportja olyan kampányt tárt fel, amelyben egy ún. Initial Access Broker (IAB)szivárgott ASP.NET Machine Key-ek felhasználásával szerzett kezdeti hozzáférést szervezetekhez. Az ilyen IAB szereplők célja, hogy kompromittált hozzáféréseket értékesítsenek más kiberbűnözők számára. A támadások középpontjában View State deszerializációs sebezhetőség állt, amely lehetővé tette, hogy a támadók kártékony kódot futtassanak közvetlenül a Microsoft IIS webszerverek memóriájában, fájlrendszeren hagyott nyomok nélkül.
A támadások mögött az ideiglenesen TGR-CRI-0045 néven azonosított csoport áll, amelyet közepes bizonyossággal a Gold Melody néven ismert, pénzügyileg motivált csoporthoz kötnek (UNC961, Prophet Spider). A célzott áldozatok Európában és az USA-ban működnek, különösen a pénzügyi szolgáltatások, gyártás, kiskereskedelem, technológia és logisztika területén.
A módszer lényege, hogy a támadók nyilvánosan elérhető vagy kiszivárgott Machine Key-ek birtokában képesek olyan View State objektumokat generálni, amelyek kódot futtatnak a kiszolgálón. Ezek a kulcsok az ASP.NET webalkalmazásoknál a __VIEWSTATE paraméter integritásáért és titkosításáért felelősek, és ha kompromittálódnak, lehetővé válik távoli kódfuttatás a webszerveren.
A kutatók 2024 októberében azonosították az első eszközhasználatot, de 2025 első negyedévében jelentős aktivitásnövekedést észleltek, köztük saját fejlesztésű eszközök és open-source portscanerek bevetésével. Ezekkel nemcsak a kezdeti hozzáférést tartották fenn, hanem jogosultságemelést és hálózati felderítést is végeztek.
A vizsgált esetekben a támadások nem hagytak hátra webshell-eket, minden parancs és modul memóriában futott, gyakran az w3wp.exe IIS-folyamaton keresztül, például a cmd /c your_command_here 2>&1 formátumban. A támadások a .NETkörnyezeten keresztül C#-ban írt modulokat töltöttek be memóriába, amelyek adatgyűjtést, letöltést/feltöltést és rendszerinformációk lekérdezését végezték.
A jelentés hangsúlyozza, hogy a sérülékenység gyökere az újrahasznosított vagy nyilvánosan elérhető Machine Key-ek alkalmazása, és sürgeti az ilyen kulcsok újragenerálását és a View State védelmének szigorítását.
A kampány egyedisége abban rejlik, hogy kevés észlelhető nyomot hagy maga után, rendkívül célzott, mégis több iparágat érint. A View State deszerializációját és a gépi kulcsokkal való visszaélést korábban elsősorban állami fenyegető szereplőkhöz kötötték, de ez a kampány azt mutatja, hogy pénzügyileg motivált csoportok is hasznosítják e fejlett technikát.
A védelmi ajánlások között szerepel a Microsoft iránymutatásainak követése az ASP.NET Machine Key-ek vizsgálatára és cseréjére, a IIS konfigurációk felülvizsgálata, valamint a memóriabeli tevékenységek fokozott naplózása és monitorozása.