كشف فريق Unit 42 التابع لشركة Palo Alto Networks عن حملة سيبرانية يقودها وسيط الوصول الأولي (IAB) المعروف باسم Gold Melody. تستغل هذه الحملة مفاتيح ASP.NET المسربة للحصول على وصول غير مصرح به إلى أنظمة المؤسسات، ثم بيع هذا الوصول إلى جهات تهديد أخرى.
كيف يتم الاستغلال؟
تعتمد الهجمات على استغلال آلية التوقيع الرقمية في ViewState الخاصة بتطبيقات ASP.NET، حيث يستخدم المهاجمون المفاتيح المسربة لتوقيع تحميلات خبيثة تنفذ مباشرة في ذاكرة الخادم، مما يقلل من الآثار الرقمية على القرص ويجعل اكتشاف الهجوم أكثر صعوبة.
هذه الطريقة تُمكن المهاجمين من تجاوز أنظمة كشف التسلل التقليدية التي تعتمد على مراقبة الملفات أو عمليات النظام، مما يستوجب استخدام أدوات كشف تعتمد على سلوك طلبات IIS أو العمليات الفرعية غير المعتادة.
أهداف الحملة
تستهدف الحملة مؤسسات في أوروبا والولايات المتحدة عبر قطاعات متعددة تشمل الخدمات المالية، التصنيع، التجارة، التكنولوجيا، والنقل.
أدوات وتقنيات الهجوم
-
تحميل وتنفيذ وحدات IIS متعددة مثل أدوات فحص الاستغلال وتحميل الملفات وتنزيلها.
-
استخدام أطر عمل مفتوحة المصدر مثل ysoserial.net لبناء حمولات خبيثة.
-
تنفيذ أوامر نظام من خلال خوادم IIS.
-
استخدام أدوات كشف الشبكات مثل ماسح المنافذ TXPortMap وبرامج خاصة بتصعيد الامتيازات محلية.
توصيات للحماية
-
مراجعة مفاتيح Machine Key المستخدمة في تطبيقات ASP.NET وتغيير أي منها معرضة للتسريب.
-
تنفيذ مراقبة سلوكية لأنشطة IIS للكشف المبكر عن محاولات الاستغلال.
-
تحديث تطبيقات ASP.NET لتفعيل التحقق من سلامة ViewState (MAC Validation).
-
استخدام حلول أمنية متقدمة تعتمد على تحليل السلوك بدلاً من التوقيع التقليدي.
تسلط حملة Gold Melody الضوء على ضعف أمني متزايد في بيئات ASP.NET القديمة أو غير المُدارة بشكل جيد، حيث يؤدي تسرب المفاتيح التشفيرية إلى فتح ثغرات خطيرة تتيح للمهاجمين اختراق الشبكات بسهولة نسبية. لذلك، من الضروري أن تعزز المؤسسات استراتيجيات الأمان الخاصة بها لمواجهة هذا النوع من الهجمات المتطورة.
المصدر:- The Hacker News
