El corredor de comunicación original (IAB) conocido como Equilibrio de oro se ha atribuido a una campaña que explotó las claves de la máquina ASP.NET para obtener comunicación no facultado a las organizaciones y vende que el comunicación a otros actores de amenazas.
La actividad está siendo rastreada por la Dispositivo 42 de Palo Detención Networks bajo el apodo TGR-CRI-0045donde “TGR” significa “Colección temporal” y “CRI” se refiere a la motivación criminal. El agrupación de piratería igualmente se conoce como Profet Spider y UNC961, con una de sus herramientas igualmente utilizadas por un corredor de comunicación original llamado Tymaker.
“El agrupación parece seguir un enfoque oportunista, pero ha atacado a las organizaciones en Europa y los Estados Unidos en las siguientes industrias: servicios financieros, fabricación, mayorista y minorista, ingreso tecnología y transporte y provisión”, dijeron los investigadores Tom Marsden y Chica García.
El demasía de las claves de la máquina ASP.NET en la naturaleza fue documentado por primera vez por Microsoft en febrero de 2025, y la compañía señaló que había identificado más de 3.000 de tales claves divulgadas públicamente que podrían ser armadas para ataques de inyección de código ViewState, lo que ha llevado a la ejecución de código arbitraria.
El primer signo de estos ataques fue detectado por el fabricante de Windows en diciembre de 2024, cuando un adversario desconocido aprovechó una secreto de máquina ASP.NET estática arreglado públicamente para inyectar código malvado y entregar el ámbito de Godzilla posteriormente de la explotación.
El exploración de la Dispositivo 42 muestra que el TGR-CRI-0045 está siguiendo un modus operandi similar, empleando las claves filtradas para firmar cargas avíos maliciosas que proporcionan comunicación no facultado a los servidores específicos, una técnica conocida como ASP.NET ViewState Deserialización.
“Esta técnica permitió al IAB ejecutar cargas avíos maliciosas directamente en la memoria del servidor, minimizando su presencia en disco y dejando pocos artefactos forenses, haciendo que la detección sea más desafiante”, dijo la compañía de seguridad cibernética, y agregó evidencia de la explotación más temprana en octubre de 2024.
A diferencia de los implantes de shell web tradicionales o las cargas avíos basadas en archivos, este enfoque residente de la memoria evita muchas soluciones EDR heredadas que se basan en el sistema de archivos o los artefactos de los árboles de procesos. Las organizaciones que dependen sólo del monitoreo de la integridad de archivos o las firmas de antivirus pueden perder por completo la intrusión, lo que hace que sea crítico implementar detecciones de comportamiento basadas en patrones de solicitud de IIS irregular, procesos infantiles generados por W3WP.EXE o cambios repentinos en el comportamiento de la aplicación .NET.
Se dice que se detectó un aumento significativo en la actividad entre finales de enero y marzo de 2025, durante el cual los ataques condujeron a la implementación de herramientas posteriores a la explotación, como escáneres de puertos de código franco y programas de C# a medida como UPDF para la subida de privilegios locales.
En al menos dos incidentes observados por la Dispositivo 42, los ataques se caracterizan por la ejecución del shell de comandos que se originan en servidores web de Servicios de Información de Internet (IIS). Otro aspecto importante es el uso probable de un creador de carga útil .NET de código franco llamado ysoserial.net y el complemento ViewState para construir las cargas avíos.
Estas cargas avíos omiten las protecciones de ViewState y activan la ejecución de un ensamblaje de .NET en la memoria. Se han identificado cinco módulos II diferentes como cargados en la memoria hasta ahora –
- CMD /C, que se utiliza para tener lugar un comando que se ejecutará en el shell de comando del sistema y ejecute instrucciones arbitrarias en el servidor
- Carga de archivo, que permite cargar archivos en el servidor especificando una ruta de archivo de destino y un búfer de byte que contiene el contenido del archivo
- Campeón, que probablemente sea un cheque para una explotación exitosa
- Descarga de archivo (no recuperado), que parece ser un descargador que permite a un atacante recuperar datos confidenciales del servidor comprometido
- Cargador reflectante (no recuperado), que aparentemente actúa como un cargador reflectante para cargar dinámicamente y ejecutar ensamblajes de .NET adicionales en la memoria sin dejar un sendero
“Entre octubre de 2024 y enero de 2025, la actividad del actor de amenaza se centró principalmente en explotar sistemas, implementar módulos, como el verificador de exploit, y realizar un examen esencial de shell”, dijo la Dispositivo 42. “La actividad posterior a la explotación ha involucrado principalmente el examen del huésped comprometido y la red circundante”.
Algunas de las otras herramientas descargadas en los sistemas incluyen un binario ELF llamado ATM de un servidor extranjero (“195.123.240 (.) 233: 443”) y un escáner de puerto de Golang llamado TXPortMap para mapear la red interna e identificar posibles objetivos de explotación.
“TGR-CRI-0045 utiliza un enfoque simplista para ver la explotación de State, cargando un solo ensamblaje apátrate directamente”, señalaron los investigadores. “Cada ejecución de comando requiere una reexplotación y retornar a cargar el ensamblaje (por ejemplo, ejecutar el ensamblaje de carga de archivo varias veces)”.
“Explotar las vulnerabilidades de deserialización del estado ASP.Net Panorama a través de las claves de la máquina expuesta permite una presencia mínima en disco y permite un comunicación a abundante plazo. La orientación oportunista del agrupación y el progreso de herramientas continuas resaltan la carencia de que las organizaciones prioricen la identificación y la remediación de las claves de la máquina comprometida”.
Esta campaña igualmente destaca una categoría más amplia de amenazas de exposición a la secreto criptográfica, incluidas las políticas de reproducción de máquina de ames de máquina débil, la energía de Mac faltante y los títulos predeterminados inseguros en aplicaciones ASP.NET anteriores. La expansión de los modelos de amenaza interna para incluir riesgos de integridad criptográfica, la manipulación de MacState Mac y el demasía de middleware de IIS puede ayudar a las organizaciones a construir estrategias de protección de identidad y APPSEC más resistentes.
