Microsoft подтвердила уязвимость в ASP.NET — хакеры взялись за ViewState

Вредоносная группа, известная под именем Gold Melody, освоила новый способ проникновения в корпоративные сети — через бреши в механизме ViewState у приложений ASP.NET. Об этом сообщили специалисты из подразделения Unit 42 компании Palo Alto Networks.

Атака строится на использовании криптографических ключей (так называемых machineKey), которые обеспечивают целостность данных в .NET-приложениях. Еще в феврале Microsoft зарегистрировала более 3000 случаев утечек этих ключей. Злоумышленники воспользовались ситуацией и начали подделывать цифровую подпись, внедряя вредоносный код прямо в оперативную память серверов. Таким образом им удавалось обойти традиционные средства защиты — антивирусы и поведенческие фильтры просто ничего не замечали.

Первые признаки активности этой схемы были замечены ещё осенью 2024 года, а пик атак пришёлся на начало 2025-го. В зоне риска оказались компании из США и Европы, работающие в банковской сфере, логистике, промышленности и розничной торговле. Хакеры не ограничивались одной отраслью — кажется, они выбирали цели по принципу удобства, а не стратегической выгоды.

Самое опасное — это то, как именно происходил взлом. Преступники не оставляли следов: они загружали вредоносные модули в память, не трогая файловую систему. В арсенале — команды для удалённого запуска, загрузка и скачивание файлов, а также компоненты для запуска вредоносного кода без сохранения на диск.

Одним из ключевых инструментов стал ysoserial.net, с помощью которого генерировались специально подготовленные ViewState-записи. Этого было достаточно, чтобы обмануть даже свежие версии ASP.NET. Вместе с этим использовались C#-утилиты для повышения привилегий, сканеры портов и даже бинарные ELF-файлы, загруженные с внешних серверов.

Аналитики подчёркивают: злоумышленники сознательно избегали постоянной установки на серверах — каждый новый взлом запускался «с нуля». Такой подход позволил им действовать почти незаметно.

На фоне этих событий эксперты настоятельно рекомендуют пересмотреть модели угроз и обратить внимание на конфигурации старых приложений: слабые ключи, отсутствие целостности и устаревшие настройки могут обернуться серьезными проблемами.