针对南欧大型 IT 服务提供商的黑客被发现滥用 Visual Studio Code (VSCode) 隧道来维持对受感染系统的持续远程访问。VSCode 隧道是微软远程开发功能的一部分,它使开发人员能够通过 Visual Studio Code 安全地访问和处理远程系统。开发人员还可以执行命令并访问远程设备的文件系统,使其成为一个强大的开发工具。该隧道使用 Microsoft Azure 基础设施建立,并具有由 Microsoft 签名的可执行文件,可提供可信访问。SentinelLabs 和 Tinexta Cyber 观察到了这种滥用合法 Microsoft 系统来维持系统后门持久访问的罕见策略,他们将这一活动称为“数字眼行动”,该行动发生于 2024 年 6 月至 7 月期间。研究人员在早期阶段检测并阻止了这些活动,并在今天发布的一份报告中分享了细节,以提高人们对这种新 APT 策略的认识。有证据微弱地指向 STORM-0866 或 Sandman APT,但对这次为期三周的行动负责的具体威胁行为者仍然未知。SentinelLabs解释道:“由于某组织在威胁环境中广泛共享恶意软件、作战手册和基础设施管理流程,“数字眼行动”背后的具体组织仍不清楚 。”黑客使用自动 SQL 注入攻击工具“sqlmap”针对面向互联网的网络和数据库服务器取得了对目标系统的初步访问。一旦建立访问权限,他们就部署一个名为 PHPsert 的基于 PHP 的 webshell,这使他们能够远程执行命令或引入额外的有效负载。对于横向移动,攻击者使用 RDP 和传递哈希攻击,具体来说是 Mimikatz 的定制版本(“bK2o.exe”)。在被攻陷的设备上,黑客部署了可移植的合法版本的 Visual Studio Code(“code.exe”),并使用“winsw”工具将其设置为持久的 Windows 服务。
接下来,他们使用隧道参数配置了 VSCode,使其能够在机器上创建远程访问开发隧道。
这使得攻击者能够通过 Web 界面(浏览器)远程连接到被破坏的设备,并使用 GitHub 或 Microsoft 帐户进行身份验证。由于到 VSCode 隧道的流量通过 Microsoft Azure 路由,并且所有涉及的可执行文件都经过签名,因此该过程中不会发生任何由安全工具发出的警报。攻击者使用他们的 VSCode 后门在工作日连接到被攻击的机器,在某标准工作时间内活动频繁。SentinelLabs 表示,使用 VSCode 隧道并非史无前例,自 2023 年以来就有一些报道,然而,它仍然是一种很少见的策略。2024 年 9 月,Unit 42发布了一份关于某国 APT 组织“Stately Taurus”滥用 VSCode 针对东南亚政府组织的间谍行动的报告。然而,SentinelLabs 表示,这两次行动似乎毫无关联。由于该技术可能越来越受欢迎,建议防御者监控可疑的 VSCode 启动,将远程隧道的使用限制在授权人员,并使用允许列表来阻止 code.exe 等可移植文件的执行。最后,建议检查 Windows 服务中是否存在“code.exe”,并在网络日志中查找到 *.devtunnels.ms 等域的意外出站连接。
信息来源:BleepingComputer
还没有评论,来说两句吧...