Κινέζοι χάκερ χρησιμοποιούν σήραγγες κώδικα του Visual Studio για απομακρυσμένη πρόσβαση

Κινέζοι χάκερ που στοχεύουν μεγάλους παρόχους υπηρεσιών πληροφορικής στη Νότια Ευρώπη παρατηρήθηκαν να κάνουν κατάχρηση των τούνελ του Visual Studio Code (VSCode) για να διατηρήσουν σταθερή απομακρυσμένη πρόσβαση σε παραβιασμένα συστήματα.

Οι σήραγγες VSCode αποτελούν μέρος της δυνατότητας Απομακρυσμένης Ανάπτυξης της Microsoft, η οποία επιτρέπει στους προγραμματιστές να έχουν ασφαλή πρόσβαση και να εργάζονται σε απομακρυσμένα συστήματα μέσω του κώδικα του Visual Studio. Οι προγραμματιστές μπορούν επίσης να εκτελούν εντολές και να έχουν πρόσβαση στο σύστημα αρχείων των απομακρυσμένων συσκευών, καθιστώντας το ένα ισχυρό εργαλείο ανάπτυξης.

Οι σήραγγες δημιουργούνται χρησιμοποιώντας υποδομή Microsoft Azure, με εκτελέσιμα υπογεγραμμένα από τη Microsoft, παρέχοντας αξιόπιστη πρόσβαση.

Αυτή η σπάνια τακτική κατάχρησης ενός νόμιμου συστήματος της Microsoft για τη διατήρηση της μόνιμης πρόσβασης σε κερκόπορτα σε συστήματα παρατηρήθηκε από τα SentinelLabs και Tinexta Cyber, που ονόμασαν την καμπάνια «Operation Digital Eye», η οποία πραγματοποιήθηκε μεταξύ Ιουνίου και Ιουλίου 2024.

Οι ερευνητές εντόπισαν και απέκλεισαν τις δραστηριότητες στα αρχικά τους στάδια, αλλά μοιράστηκαν τις λεπτομέρειες σε μια έκθεση που δημοσιεύτηκε σήμερα για να αυξήσουν την ευαισθητοποίηση σχετικά με αυτή τη νέα τακτική APT.

Τα στοιχεία δείχνουν αδύναμα το STORM-0866 ή το Sandman APT, αλλά ο ακριβής παράγοντας απειλής που είναι υπεύθυνος για αυτήν την επιχείρηση τριών εβδομάδων παραμένει άγνωστος.

“Η ακριβής ομάδα πίσω από το Operation Digital Eye παραμένει ασαφής λόγω της εκτεταμένης κοινής χρήσης κακόβουλου λογισμικού, λειτουργικών βιβλίων και διαδικασιών διαχείρισης υποδομής εντός του κινεζικού τοπίου απειλών”, εξηγεί. SentinelLabs.

Πίσω πόρτα του Visual Studio Code

Οι χάκερ πέτυχαν αρχική πρόσβαση στα συστήματα-στόχους χρησιμοποιώντας το αυτοματοποιημένο εργαλείο εκμετάλλευσης έγχυσης SQL «sqlmap» έναντι διακομιστών ιστού και βάσεων δεδομένων που αντιμετωπίζουν το Διαδίκτυο.

Μόλις καθιέρωσαν την πρόσβαση, ανέπτυξαν ένα webshell βασισμένο σε PHP που ονομάζεται PHPsert, το οποίο τους επέτρεπε να εκτελούν εντολές από απόσταση ή να εισάγουν πρόσθετα ωφέλιμα φορτία.

Για πλευρική κίνηση, οι εισβολείς χρησιμοποίησαν επιθέσεις RDP και pass-the-hash, συγκεκριμένα, μια προσαρμοσμένη έκδοση του Mimikatz (‘bK2o.exe’).

Σε συσκευές που είχαν παραβιαστεί, οι χάκερ ανέπτυξαν μια φορητή, νόμιμη έκδοση του Visual Studio Code (“code.exe”) και χρησιμοποίησαν το εργαλείο “winsw” για να το ορίσουν ως μια μόνιμη υπηρεσία των Windows.

Στη συνέχεια, διαμόρφωσαν το VSCode με την παράμετρο τούνελ, επιτρέποντάς του να δημιουργήσει μια σήραγγα ανάπτυξης απομακρυσμένης πρόσβασης στο μηχάνημα.

Αυτό επέτρεψε στους παράγοντες απειλής να συνδεθούν απομακρυσμένα με τη συσκευή που παραβιάστηκε μέσω μιας διεπαφής ιστού (πρόγραμμα περιήγησης), με έλεγχο ταυτότητας με λογαριασμό GitHub ή Microsoft.

Επειδή η κυκλοφορία προς τις σήραγγες VSCode δρομολογείται μέσω του Microsoft Azure και όλα τα εμπλεκόμενα εκτελέσιμα αρχεία είναι υπογεγραμμένα, δεν υπάρχει τίποτα στη διαδικασία που να προκαλεί συναγερμούς από τα εργαλεία ασφαλείας.

Οι παράγοντες απειλών χρησιμοποίησαν την κερκόπορτα VSCode τους για να συνδεθούν με τα μηχανήματα που είχαν παραβιαστεί κατά τη διάρκεια των εργάσιμων ημερών, παρουσιάζοντας υψηλή δραστηριότητα κατά τις τυπικές ώρες εργασίας στην Κίνα.

Η SentinelLabs λέει ότι η χρήση των σηράγγων VSCode δεν είναι πρωτοφανής, καθώς υπάρχουν ορισμένες αναφορές από το 2023, ωστόσο, παραμένει μια σπάνια τακτική.

Τον Σεπτέμβριο του 2024, Ενότητα 42 δημοσίευσε έκθεση σχετικά με την κινεζική ομάδα APT «Stately Taurus» που κάνει κατάχρηση του VSCode σε επιχειρήσεις κατασκοπείας που στοχεύουν κυβερνητικούς οργανισμούς στη Νοτιοανατολική Ασία. Ωστόσο, η SentinelLabs λέει ότι οι δύο λειτουργίες φαίνονται άσχετες.

Καθώς η τεχνική μπορεί να αποκτά έλξη, συνιστάται στους υπερασπιστές να παρακολουθούν για ύποπτες εκκινήσεις VSCode, να περιορίζουν τη χρήση απομακρυσμένων σηράγγων σε εξουσιοδοτημένο προσωπικό και να χρησιμοποιούν τη λίστα επιτρεπόμενων για να εμποδίζουν την εκτέλεση φορητών αρχείων όπως το code.exe.

Τέλος, συνιστάται να επιθεωρήσετε τις υπηρεσίες των Windows για την παρουσία του ‘code.exe’ και να αναζητήσετε μη αναμενόμενες εξερχόμενες συνδέσεις σε τομείς όπως το *.devtunnels.ms στα αρχεία καταγραφής δικτύου.