Кибершпионы всё глубже внедряются в ключевые звенья глобальной инфраструктуры.
Группа киберзлоумышленников, предположительно связанная с Китаем, организовала цифровые атаки на крупные IT-компании Южной Европы. Операция Digital Eye, была выявлена с конца июня по середину июля 2024 года. Компании SentinelOne и Tinexta Cyber сообщили, что угрозу удалось нейтрализовать до утечки данных.
Эксперты Александер Миленкоски и Луиджи Мартире пояснили, что злоумышленники пытались создать стратегические плацдармы для дальнейшего взлома инфраструктуры клиентов пострадавших компаний. Для этого использовались Microsoft Azure и Visual Studio Code, чтобы скрыть вредоносную активность.
Основной метод атаки включал использование легитимной функции Visual Studio Code Remote Tunnels. Она позволяла злоумышленникам удалённо управлять системой, выполняя команды и изменяя файлы. Этот подход помог маскировать трафик под обычные операции, что затрудняло обнаружение.
Первый этап атаки начинался с SQL-инъекций с помощью инструмента SQLmap. После успешного проникновения внедрялась веб-оболочка PHPsert, обеспечивающая долгосрочный доступ. Далее кибершпионы проводили разведку, собирали учётные данные и перемещались по сети с помощью RDP и методов Pass-the-Hash.
Для атак Pass-the-Hash использовался модифицированный вариант Mimikatz, известный как mimCN. Этот инструмент связан с другими китайскими кибершпионскими операциями, такими как Operation Soft Cell. Общие черты кода и уникальные функции подтверждают, что он создавался одной командой разработчиков.
В ходе атаки активно применялись SSH и Visual Studio Code Remote Tunnels для выполнения удалённых команд. Для подключения злоумышленники использовали GitHub-аккаунты, хотя пока неясно, были ли они зарегистрированными с нуля или взломанными.
Дополнительные признаки, указывающие на китайское происхождение атак, включают комментарии на упрощённом китайском языке в коде PHPsert, использование инфраструктуры румынского провайдера M247 и совпадение тактик с группой Mustang Panda. Кроме того, активность злоумышленников совпадала с рабочими часами в Китае.
Кампания Operation Digital Eye демонстрирует стратегию кибершпионажа: атака на компании, предоставляющие IT-услуги, позволяет распространять угрозу через их цепочки поставок. Использование Visual Studio Code Remote Tunnels подчёркивает практичность китайских APT-групп, которые стремятся замаскировать свои действия под легитимную активность.
Эксперты Александер Миленкоски и Луиджи Мартире пояснили, что злоумышленники пытались создать стратегические плацдармы для дальнейшего взлома инфраструктуры клиентов пострадавших компаний. Для этого использовались Microsoft Azure и Visual Studio Code, чтобы скрыть вредоносную активность.
Основной метод атаки включал использование легитимной функции Visual Studio Code Remote Tunnels. Она позволяла злоумышленникам удалённо управлять системой, выполняя команды и изменяя файлы. Этот подход помог маскировать трафик под обычные операции, что затрудняло обнаружение.
Первый этап атаки начинался с SQL-инъекций с помощью инструмента SQLmap. После успешного проникновения внедрялась веб-оболочка PHPsert, обеспечивающая долгосрочный доступ. Далее кибершпионы проводили разведку, собирали учётные данные и перемещались по сети с помощью RDP и методов Pass-the-Hash.
Для атак Pass-the-Hash использовался модифицированный вариант Mimikatz, известный как mimCN. Этот инструмент связан с другими китайскими кибершпионскими операциями, такими как Operation Soft Cell. Общие черты кода и уникальные функции подтверждают, что он создавался одной командой разработчиков.
В ходе атаки активно применялись SSH и Visual Studio Code Remote Tunnels для выполнения удалённых команд. Для подключения злоумышленники использовали GitHub-аккаунты, хотя пока неясно, были ли они зарегистрированными с нуля или взломанными.
Дополнительные признаки, указывающие на китайское происхождение атак, включают комментарии на упрощённом китайском языке в коде PHPsert, использование инфраструктуры румынского провайдера M247 и совпадение тактик с группой Mustang Panda. Кроме того, активность злоумышленников совпадала с рабочими часами в Китае.
Кампания Operation Digital Eye демонстрирует стратегию кибершпионажа: атака на компании, предоставляющие IT-услуги, позволяет распространять угрозу через их цепочки поставок. Использование Visual Studio Code Remote Tunnels подчёркивает практичность китайских APT-групп, которые стремятся замаскировать свои действия под легитимную активность.