Một chiến dịch tinh vi do nhóm môi giới truy cập ban đầu (IAB) mang tên TGR-CRI-0045 đã và đang lợi dụng các khóa Machine Key bị lộ từ các trang web ASP.NET để giành quyền truy cập trái phép vào các tổ chức mục tiêu. Nhóm này, được theo dõi với mã TGR-CRI-0045, đã hoạt động từ tháng 10 năm 2024 và chứng kiến sự gia tăng đáng kể trong các cuộc tấn công từ tháng 1 đến tháng 3 năm 2025. Các mục tiêu chủ yếu nằm ở Châu Âu và Hoa Kỳ, bao gồm các lĩnh vực dịch vụ tài chính, sản xuất, bán lẻ và vận tải.
Kỹ Thuật Khai Thác ASP.NET View State
TGR-CRI-0045 triển khai một kỹ thuật tinh vi được gọi là ASP.NET View State deserialization để thực thi các payload độc hại trực tiếp trong bộ nhớ máy chủ. Phương pháp này giúp giảm đáng kể dấu vết pháp y trên hệ thống bị ảnh hưởng.
Kẻ tấn công tận dụng các danh sách công khai chứa các khóa Machine Key bị lộ. Machine Key là các khóa mật mã được sử dụng để bảo vệ và ký các trạng thái ASP.NET View State, đảm bảo tính toàn vẹn và xác thực của dữ liệu truyền giữa máy chủ và trình duyệt. Bằng cách có được các khóa này, kẻ tấn công có thể tạo ra các payload deserialization độc hại, qua đó bỏ qua các cơ chế bảo vệ tích hợp.
Nhóm sử dụng các công cụ như ysoserial.net để tạo ra các payload này. Các payload sau đó được gửi đến máy chủ thông qua tham số __VIEWSTATE trong các yêu cầu HTTP POST. Khi được xử lý bởi máy chủ IIS (Internet Information Services), mã độc sẽ được thực thi trong ngữ cảnh của tiến trình worker IIS. Điều này cho phép kẻ tấn công thực thi các lệnh tùy ý, tải lên tệp và duy trì quyền truy cập mà không để lại các chỉ số truyền thống trên đĩa.
Phương pháp khai thác “một lần” (single-shot exploit) này yêu cầu một nỗ lực khai thác riêng biệt cho mỗi lần thực thi lệnh. Điều này tạo ra tỷ lệ 1:1 giữa các lần khai thác và các lần thực thi lệnh, là một đặc điểm quan trọng trong việc phân tích các hoạt động của nhóm.
Các nhà nghiên cứu của Unit 42 đã xác định được năm .NET assembly riêng biệt được sử dụng trong các cuộc tấn công này. Chúng bao gồm các module thực thi lệnh (command execution modules), khả năng tải tệp (file upload capabilities) và các công cụ xác minh khai thác (exploitation verification tools).
Hoạt Động Hậu Khai Thác (Post-Exploitation Activities)
Sau khi giành được quyền truy cập ban đầu, kẻ tấn công duy trì quyền kiểm soát và mở rộng khả năng của mình trên hệ thống.
Thư Mục Staging và Leo Thang Đặc Quyền
Tác nhân đe dọa này sử dụng nhất quán thư mục C:\Windows\Temp\111t làm thư mục trung gian (staging directory) để lưu trữ các công cụ và tệp tạm thời. Để leo thang đặc quyền, nhóm triển khai các công cụ tùy chỉnh như “updf”. Đây là một tệp nhị phân leo thang đặc quyền được ngụy trang, sử dụng lỗ hổng GodPotato exploit để đạt được quyền truy cập cấp SYSTEM trên các máy chủ bị xâm nhập.
Trinh Sát Hệ Thống
Các hoạt động hậu khai thác của nhóm bao gồm trinh sát rộng rãi. Chúng sử dụng cả các lệnh Windows tích hợp sẵn và các công cụ tùy chỉnh như TxPortMap, một công cụ quét cổng (port scanner) được viết bằng Golang. Hoạt động trinh sát này nhằm mục đích thu thập thông tin chi tiết về môi trường mạng và hệ thống mục tiêu.
Tuy nhiên, các nhà nghiên cứu lưu ý rằng cho đến đầu tháng 6 năm 2025, không có bằng chứng nào về việc di chuyển ngang (lateral movement) trong mạng. Điều này cho thấy trọng tâm chính của nhóm vẫn là thiết lập và duy trì quyền truy cập ban đầu, có khả năng để bán lại cho các tác nhân đe dọa khác. Các nhà nghiên cứu đánh giá với mức độ tin cậy trung bình rằng TGR-CRI-0045 có liên kết với Gold Melody (còn được gọi là UNC961 hoặc Prophet Spider), dựa trên sự chồng chéo về các chỉ số thỏa hiệp (IOCs), các chiến thuật, kỹ thuật và quy trình (TTPs), cũng như các mẫu nạn nhân và công cụ Exploit Checker.
Chỉ Số Tổn Thương (Indicators of Compromise – IOCs)
Dựa trên phân tích, các chỉ số thỏa hiệp liên quan đến chiến dịch này bao gồm:
- Tên nhóm đe dọa: TGR-CRI-0045, Gold Melody (UNC961, Prophet Spider)
- Thư mục Staging:
C:\Windows\Temp\111t - Công cụ leo thang đặc quyền:
updf(sử dụng GodPotato exploit) - Công cụ quét cổng:
TxPortMap(Golang-based) - Công cụ tạo payload:
ysoserial.net - Tham số HTTP bị khai thác:
__VIEWSTATE
Thách Thức Trong Phát Hiện
Chiến dịch này làm nổi bật những điểm mù đáng kể trong giám sát bảo mật truyền thống. Các cuộc tấn công View State deserialization có thể gần như không thể bị phát hiện nếu không có dữ liệu đo từ xa (telemetry) phù hợp.
Một trong những thách thức chính là việc kỹ thuật khai thác này phụ thuộc vào các yêu cầu HTTP POST. Các yêu cầu này thường không được ghi log bởi hạ tầng bảo mật tiêu chuẩn, tạo ra thêm khó khăn trong việc phát hiện.
Việc thực thi mã độc trong bộ nhớ (reflective .NET assembly loading) mà không ghi tệp xuống đĩa cũng làm cho việc phát hiện trở nên khó khăn hơn đối với các giải pháp bảo mật dựa trên dấu hiệu truyền thống.
Khuyến Nghị Phòng Ngừa và Phát Hiện
Để bảo vệ tổ chức khỏi các cuộc tấn công tương tự, Microsoft và các chuyên gia bảo mật đặc biệt khuyến nghị các hành động sau:
Kiểm Tra và Bảo Mật ASP.NET Implementations
- Các tổ chức nên ngay lập tức xem xét lại các triển khai ASP.NET của mình để kiểm tra xem có bất kỳ Machine Key nào bị xâm phạm hoặc bị lộ hay không.
- Đảm bảo rằng tính năng ký mã xác thực thông điệp (Message Authentication Code – MAC) của View State được bật. Khi MAC signing được bật, View State được ký bằng Machine Key của ứng dụng, giúp phát hiện bất kỳ sự giả mạo nào.
Tăng Cường Ghi Log và Giám Sát
- Thực hiện ghi log yêu cầu HTTP POST có điều kiện. Việc ghi log chi tiết các yêu cầu POST, đặc biệt là các yêu cầu đến các trang ASP.NET có chứa tham số
__VIEWSTATE, có thể cung cấp dữ liệu quan trọng cho việc phát hiện. - Giám sát Windows Event ID 1316. ID sự kiện này liên quan đến các lỗi View State deserialization, có thể là dấu hiệu của một cuộc tấn công đang diễn ra hoặc đã xảy ra. Việc theo dõi các sự kiện này và thiết lập cảnh báo có thể giúp phát hiện sớm các hoạt động đáng ngờ.
Triển Khai Giải Pháp Phát Hiện Nâng Cao
- Cân nhắc triển khai các giải pháp phát hiện và phản hồi điểm cuối (Endpoint Detection and Response – EDR) có khả năng phát hiện việc tải các .NET assembly phản chiếu (reflective .NET assembly loading). Kỹ thuật này cho phép mã độc chạy trực tiếp trong bộ nhớ mà không cần ghi tệp xuống đĩa, làm cho các giải pháp EDR tiên tiến trở nên cần thiết để nhận diện hành vi này.
Việc phát hiện chiến dịch này nhấn mạnh sự tinh vi ngày càng tăng của các môi giới truy cập ban đầu và nhu cầu cấp thiết đối với các tổ chức phải giải quyết các lỗ hổng mật mã cơ bản trong hạ tầng web của họ trước khi chúng trở thành điểm xâm nhập cho các cuộc tấn công gây thiệt hại lớn hơn.
