Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Хакеры маскируют свои атаки средствами VSCode

11/12/24

hack81-1

Группа киберзлоумышленников, предположительно связанная с Китаем, организовала цифровые атаки на крупные IT-компании Южной Европы. Операция Digital Eye, была выявлена с конца июня по середину июля 2024 года. Компании SentinelOne и Tinexta Cyber сообщили, что угрозу удалось нейтрализовать до утечки данных. Об этом пишет Securitylab.

Эксперты Александер Миленкоски и Луиджи Мартире пояснили, что злоумышленники пытались создать стратегические плацдармы для дальнейшего взлома инфраструктуры клиентов пострадавших компаний. Для этого использовались Microsoft Azure и Visual Studio Code, чтобы скрыть вредоносную активность.

Основной метод атаки включал использование безвредной функции Visual Studio Code Remote Tunnels. Она позволяла злоумышленникам удалённо управлять системой, выполняя команды и изменяя файлы. Этот подход помог маскировать трафик под обычные операции, что затрудняло обнаружение.

Первый этап атаки начинался с SQL-инъекций с помощью инструмента SQLmap. После успешного проникновения внедрялась веб-оболочка PHPsert, обеспечивающая долгосрочный доступ. Далее кибершпионы проводили разведку, собирали учётные данные и перемещались по сети с помощью RDP и методов Pass-the-Hash.

Для атак Pass-the-Hash использовался модифицированный вариант Mimikatz, известный как mimCN. Этот инструмент связан с другими китайскими кибершпионскими операциями, такими как Operation Soft Cell. Общие черты кода и уникальные функции подтверждают, что он создавался одной командой разработчиков.

В ходе атаки активно применялись SSH и Visual Studio Code Remote Tunnels для выполнения удалённых команд. Для подключения злоумышленники использовали GitHub-аккаунты, хотя пока неясно, были ли они зарегистрированными с нуля или взломанными.

Дополнительные признаки, указывающие на китайское происхождение атак, включают комментарии на упрощённом китайском языке в коде PHPsert, использование инфраструктуры румынского провайдера M247 и совпадение тактик с группой Mustang Panda. Кроме того, активность злоумышленников совпадала с рабочими часами в Китае.

Кампания Operation Digital Eye демонстрирует стратегию кибершпионажа: атака на компании, предоставляющие IT-услуги, позволяет распространять угрозу через их цепочки поставок. Использование Visual Studio Code Remote Tunnels подчёркивает практичность китайских APT-групп, которые стремятся замаскировать свои действия под легитимную активность.

Темы:ПреступлениякибершпионажSentinelOneгосударственные кибератаки
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...