Группа Gold Melody, известная также как Prophet Spider или UNC961, продаёт доступ к корпоративным сетям, используя уязвимости в . Их метод: эксплуатация скомпрометированных машинных ключей (machine keys) через атаки десериализации ViewState. Это позволяет внедрять произвольный код, полностью обходя защиту.
Microsoft задокументировал эту технику в феврале 2025 года, выявив свыше 3 000 открытых ключей, пригодных для атак. Первый инцидент зафиксирован ещё в декабре 2024-го: злоумышленник использовал статический ключ для доставки фреймворка Godzilla.
Unit 42 (Palo Alto Networks) обнаружил следы эксплуатации уже в октябре 2024. Атака уникальна исполнением вредоносных нагрузок прямо в памяти сервера, минуя диск. Это оставляет минимум артефактов, обходит классические EDR-системы и антивирусные сигнатуры. Команды запускаются через процессы IIS (Internet Information Services).
Для генерации нагрузок Gold Melody применяет связку (генератор полезного ) и плагина ViewState. Каждая операция требует повторной эксплуатации — например, многократной загрузки файлов.
С января по март 2025 активность группы резко возросла. После начальной разведки они развернули инструменты постэксплуатации:
В память IIS внедряются модули:
Защита требует срочных мер:
Уязвимость превращает ключи в скрытые бэкдоры. Без криптографической целостности и стратегий защиты приложений атаки вроде Gold Melody останутся невидимыми.
Изображение носит иллюстративный характер
Microsoft задокументировал эту технику в феврале 2025 года, выявив свыше 3 000 открытых ключей, пригодных для атак. Первый инцидент зафиксирован ещё в декабре 2024-го: злоумышленник использовал статический ключ для доставки фреймворка Godzilla.
Unit 42 (Palo Alto Networks) обнаружил следы эксплуатации уже в октябре 2024. Атака уникальна исполнением вредоносных нагрузок прямо в памяти сервера, минуя диск. Это оставляет минимум артефактов, обходит классические EDR-системы и антивирусные сигнатуры. Команды запускаются через процессы IIS (Internet Information Services).
Для генерации нагрузок Gold Melody применяет связку (генератор полезного ) и плагина ViewState. Каждая операция требует повторной эксплуатации — например, многократной загрузки файлов.
С января по март 2025 активность группы резко возросла. После начальной разведки они развернули инструменты постэксплуатации:
- Портовый сканер TXPortMap (на Golang) для картографирования сети.
- Собственный эксплойт updf для повышения привилегий.
- ELF-бинарник atm, загружаемый с сервера
195.123.240[.]233:443.
В память IIS внедряются модули:
- Cmd /c — выполнение shell-команд.
- File upload — загрузка файлов.
- Winner — проверка успеха эксплуатации.
- Reflective loader — динамическая загрузка .
Защита требует срочных мер:
- Мониторинг аномалий в запросах IIS и дочерних процессах w3wp.exe.
- Поиск внезапных изменений в поведении.NET-приложений.
- Ревизия всех machine keys: слабые ключи, отсутствие MAC-валидации или устаревшие настройки критичны.
- Расширить модели угроз, включив риски подмены ViewState MAC и злоупотребления компонентами IIS.
Уязвимость превращает ключи в скрытые бэкдоры. Без криптографической целостности и стратегий защиты приложений атаки вроде Gold Melody останутся невидимыми.
