Новости Операция «Цифровой глаз»: как хакеры маскируют свои атаки средствами VSCode

NewsMaker

I'm just a script
Премиум
14,589
22
8 Ноя 2022
Кибершпионы всё глубже внедряются в ключевые звенья глобальной инфраструктуры.


16pfb2ycovgo4ja0ilzj9lx0gwbs6inf.jpg


Группа киберзлоумышленников, предположительно связанная с Китаем, организовала цифровые атаки на крупные IT-компании Южной Европы. Операция Digital Eye, была выявлена с конца июня по середину июля 2024 года. Компании SentinelOne и Tinexta Cyber Для просмотра ссылки Войди или Зарегистрируйся что угрозу удалось нейтрализовать до утечки данных.

Эксперты Александер Миленкоски и Луиджи Мартире пояснили, что злоумышленники пытались создать стратегические плацдармы для дальнейшего взлома инфраструктуры клиентов пострадавших компаний. Для этого использовались Microsoft Azure и Visual Studio Code, чтобы скрыть вредоносную активность.

Основной метод атаки включал использование легитимной функции Visual Studio Code Remote Tunnels. Она позволяла злоумышленникам удалённо управлять системой, выполняя команды и изменяя файлы. Этот подход помог маскировать трафик под обычные операции, что затрудняло обнаружение.

Первый этап атаки начинался с SQL-инъекций с помощью инструмента SQLmap. После успешного проникновения внедрялась веб-оболочка PHPsert, обеспечивающая долгосрочный доступ. Далее кибершпионы проводили разведку, собирали учётные данные и перемещались по сети с помощью RDP и методов Pass-the-Hash.

Для атак Pass-the-Hash использовался модифицированный вариант Mimikatz, известный как mimCN. Этот инструмент связан с другими китайскими кибершпионскими операциями, такими как Operation Soft Cell. Общие черты кода и уникальные функции подтверждают, что он создавался одной командой разработчиков.

В ходе атаки активно применялись SSH и Visual Studio Code Remote Tunnels для выполнения удалённых команд. Для подключения злоумышленники использовали GitHub-аккаунты, хотя пока неясно, были ли они зарегистрированными с нуля или взломанными.

Дополнительные признаки, указывающие на китайское происхождение атак, включают комментарии на упрощённом китайском языке в коде PHPsert, использование инфраструктуры румынского провайдера M247 и совпадение тактик с группой Mustang Panda. Кроме того, активность злоумышленников совпадала с рабочими часами в Китае.

Кампания Operation Digital Eye демонстрирует стратегию кибершпионажа: атака на компании, предоставляющие IT-услуги, позволяет распространять угрозу через их цепочки поставок. Использование Visual Studio Code Remote Tunnels подчёркивает практичность китайских APT -групп, которые стремятся замаскировать свои действия под легитимную активность.
 
Источник новости
www.securitylab.ru

Похожие темы