Китайські хакери, націлені на великих постачальників ІТ-послуг у Південній Європі, зловживали тунелями Visual Studio Code (VSCode) для підтримки постійного віддаленого доступу до скомпрометованих систем. Про це повідомляє BleepingComputer.
Тунелі VSCode є частиною функції Microsoft Remote Development, яка дозволяє розробникам безпечно отримувати доступ і працювати на віддалених системах за допомогою Visual Studio Code.
Розробники також можуть виконувати команди та отримувати доступ до файлової системи віддалених пристроїв, що робить його потужним інструментом розробки.
Тунелі встановлюються за допомогою інфраструктури Microsoft Azure із виконуваними файлами, підписаними Microsoft, що забезпечує надійний доступ.
Цю рідкісну тактику зловживання легітимною системою Microsoft для підтримки постійного бекдор-доступу до систем спостерігали SentinelLabs і Tinexta Cyber, які назвали кампанію операція «Цифрове око» (вона проходила з червня по липень 2024 року).
Дослідники виявили та заблокували дії на ранніх стадіях, але поділилися деталями у звіті, щоб підвищити обізнаність про цю нову тактику APT. Докази непрямо вказують на STORM-0866 або Sandman APT.
«Точна хакерська група, яка стоїть за операцією «Цифрове око», залишається невідомою через широкий обмін шкідливим програмним забезпеченням, оперативними інструкціями та процесами управління інфраструктурою в китайському ландшафті загроз», — пояснили в SentinelLabs.
Хакери отримали початковий доступ до цільових систем за допомогою автоматизованого інструменту використання SQL-ін’єкцій sqlmap проти інтернет-серверів і серверів баз даних.
Після того, як вони надали доступ, було розгорнуто вебоболонку на основі PHP під назвою PHPsert, яка дозволила їм виконувати команди віддалено або вводити додаткові корисні навантаження.
Для бокового переміщення зловмисники використовували атаки RDP і pass-the-hash, зокрема спеціальну версію Mimikatz ('bK2o.exe').
На зламаних пристроях хакери розгорнули портативну законну версію Visual Studio Code ("code.exe") і використали інструмент winsw, щоб встановити його як постійну службу Windows.
Далі вони налаштували VSCode за допомогою параметра tunnel, що дозволило створити тунель розробки віддаленого доступу на машині.
Це дало змогу зловмисникам віддалено підключитися до зламаного пристрою через вебінтерфейс (браузер), пройшовши автентифікацію за допомогою облікового запису GitHub або Microsoft.
Оскільки трафік до тунелів VSCode направляється через Microsoft Azure, а всі задіяні виконувані файли підписуються, у процесі немає нічого, що могло б викликати тривогу інструментами безпеки.
Зловмисники використовували свій бекдор VSCode для підключення до зламаних машин у робочі дні, демонструючи високу активність у стандартний робочий час у Китаї.
SentinelLabs стверджує, що використання тунелів VSCode не є безпрецедентним, оскільки з 2023 року надходили деякі повідомлення, однак це залишається рідко поширеною тактикою.
У вересні 2024 року Unit 42 опублікував звіт про китайську групу APT Stately Taurus, яка зловживала VSCode під час шпигунських операцій проти урядових організацій у Південно-Східній Азії. Однак у SentinelLabs кажуть, що ці дві операції не пов’язані між собою.
Оскільки вказана техніка може набути популярності, рекомендовано стежити за підозрілими запусками VSCode, обмежити використання віддалених тунелів уповноваженим персоналом і використовувати дозволений список для блокування виконання переносних файлів, таких як code.exe.
Насамкінець бажано перевірити служби Windows на наявність code.exe та пошукати неочікувані вихідні підключення до доменів, таких як *.devtunnels.ms, у журналах мережі.
Раніше ми повідомляли, що Microsoft більше не підтримує протоколи PPTP та L2TP VPN у Windows Server.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!