Vulnerabilidades em aplicações .NET legadas permitem acesso indevido a diversas organizações

Uma campanha de ciberataques atribuída ao intermediário de acesso inicial (IAB) conhecido como Gold Melody tem se aproveitado de chaves de máquina ASP.NET vazadas para obter acesso não autorizado a sistemas de diversas organizações. O objetivo final é revender esses acessos a outros hackers, conforme revelado por pesquisadores da Palo Alto Networks Unit 42.

A atividade está sendo rastreada pela Unit 42 sob o codinome TGR-CRI-0045, onde "TGR" indica "grupo temporário" e "CRI" se refere a motivação criminosa. O grupo hacker também é conhecido pelos nomes Prophet Spider e UNC961, e uma de suas ferramentas já foi utilizada por outro intermediário de acesso inicial, o ToyMaker.

"O grupo parece seguir uma abordagem oportunista, mas já atacou organizações na Europa e nos EUA em diversas indústrias, incluindo serviços financeiros, manufatura, atacado e varejo, alta tecnologia, e transporte e logística", afirmaram os pesquisadores Tom Marsden e Chema Garcia.

O abuso de chaves de máquina ASP.NET em ataques foi documentado pela primeira vez pela Microsoft em fevereiro de 2025. Na ocasião, a empresa identificou mais de 3.000 chaves publicamente expostas que poderiam ser usadas para ataques de injeção de código ViewState, resultando em execução arbitrária de código.

Os primeiros sinais desses ataques foram detectados pela Microsoft em dezembro de 2024, quando um invasor desconhecido utilizou uma chave de máquina ASP.NET estática e publicamente disponível para injetar código malicioso e entregar o framework de pós-exploração Godzilla.

A análise da Unit 42 indica que o TGR-CRI-0045 segue um modus operandi similar, utilizando as chaves vazadas para assinar payloads maliciosos que fornecem acesso não autorizado a servidores alvo. Essa técnica é conhecida como desserialização de ASP.NET ViewState.

"Essa técnica permitiu ao IAB executar payloads maliciosos diretamente na memória do servidor, minimizando sua presença em disco e deixando poucos artefatos forenses, tornando a detecção mais desafiadora", explicou a empresa de cibersegurança, acrescentando que encontrou evidências de exploração desde outubro de 2024.

Diferentemente das web shells tradicionais ou payloads baseados em arquivos, essa abordagem residente na memória consegue contornar muitas soluções EDR (Endpoint Detection and Response) legadas que dependem de artefatos de sistema de arquivos ou de árvore de processos.

Organizações que confiam apenas em monitoramento de integridade de arquivos ou assinaturas de antivírus podem não detectar a intrusão, tornando crucial a implementação de detecções comportamentais baseadas em padrões anômalos de requisição IIS, processos filhos gerados pelo w3wp.exe ou mudanças súbitas no comportamento de aplicações .NET.

Um pico significativo de atividade foi detectado entre o final de janeiro e março de 2025, período em que os ataques levaram à implantação de ferramentas de pós-exploração, como scanners de portas de código aberto e programas C# personalizados como o updf para escalonamento de privilégios locais.

Em pelo menos dois incidentes observados pela Unit 42, os ataques foram caracterizados pela execução de command shell originada de servidores web do Internet Information Services (IIS). Outro aspecto notável é o provável uso de um gerador de payload de desserialização .NET de código aberto chamado ysoserial.net e um plugin ViewState para construir os payloads.

Esses payloads ignoram as proteções do ViewState e acionam a execução de um assembly .NET na memória. Cinco módulos IIS diferentes foram identificados como carregados na memória até agora:

• Cmd /c: Usado para passar um comando a ser executado para o shell de comando do sistema e executar instruções arbitrárias no servidor.

• File upload: Permite o upload de arquivos para o servidor, especificando um caminho de arquivo de destino e um buffer de bytes contendo o conteúdo do arquivo.

• Winner: Provavelmente uma verificação de exploração bem-sucedida.

• File download (não recuperado): Parece ser um downloader que permite ao invasor recuperar dados sensíveis do servidor comprometido.

• Reflective loader (não recuperado): Aparentemente atua como um loader reflexivo para carregar e executar dinamicamente assemblies .NET adicionais na memória sem deixar rastros.

"Entre outubro de 2024 e janeiro de 2025, a atividade do hacker se concentrou principalmente na exploração de sistemas, implantação de módulos — como o verificador de exploit — e realização de reconhecimento básico de shell", afirmou a Unit 42. "A atividade de pós-exploração envolveu principalmente o reconhecimento do host comprometido e da rede circundante."

Algumas das outras ferramentas baixadas nos sistemas incluem um binário ELF chamado atm de um servidor externo ("195.123.240[.]233:443") e um scanner de portas Golang chamado TXPortMap para mapear a rede interna e identificar potenciais alvos de exploração.

"O TGR-CRI-0045 usa uma abordagem simplista para a exploração do ViewState, carregando um único assembly sem estado diretamente", observaram os pesquisadores. "Cada execução de comando requer re-exploração e re-upload do assembly (por exemplo, executar o assembly de upload de arquivo várias vezes)."

"A exploração de vulnerabilidades de desserialização do ASP.NET ViewState através de Machine Keys expostas permite uma presença mínima em disco e possibilita acesso de longo prazo. O direcionamento oportunista do grupo e o desenvolvimento contínuo de ferramentas destacam a necessidade de as organizações priorizarem a identificação e remediação de Machine Keys comprometidas."

Essa campanha também enfatiza uma categoria mais ampla de ameaças de exposição de chaves criptográficas, incluindo políticas de geração de machineKey fracas, validação MAC ausente e padrões inseguros em aplicações ASP.NET mais antigas.

Expandir os modelos de ameaças internas para incluir riscos de integridade criptográfica, adulteração de MAC do ViewState e abuso de middleware IIS pode ajudar as organizações a construir estratégias mais resilientes de segurança de aplicações (AppSec) e proteção de identidade.

Via - THN