Операция «Цифровой глаз»: как хакеры маскируют свои атаки средствами VSCode

Добро пожаловать на наш форум!

Спасибо за посещение нашего сообщества. Пожалуйста, зарегистрируйтесь или войдите, чтобы получить доступ ко всем функциям.


Gibby

Автор
Команда проекта

Регистрация
Сообщений
1,645
Репутация
45
Сделок
Кибершпионы всё глубже внедряются в ключевые звенья глобальной инфраструктуры.

4.jpg
Группа киберзлоумышленников, предположительно связанная с Китаем, организовала цифровые атаки на крупные IT-компании Южной Европы. Операция Digital Eye, была выявлена с конца июня по середину июля 2024 года. Компании SentinelOne и Tinexta Cyber сообщили, что угрозу удалось нейтрализовать до утечки данных.

Эксперты Александер Миленкоски и Луиджи Мартире пояснили, что злоумышленники пытались создать стратегические плацдармы для дальнейшего взлома инфраструктуры клиентов пострадавших компаний. Для этого использовались Microsoft Azure и Visual Studio Code, чтобы скрыть вредоносную активность.

Основной метод атаки включал использование легитимной функции Visual Studio Code Remote Tunnels. Она позволяла злоумышленникам удалённо управлять системой, выполняя команды и изменяя файлы. Этот подход помог маскировать трафик под обычные операции, что затрудняло обнаружение.

Первый этап атаки начинался с SQL-инъекций с помощью инструмента SQLmap. После успешного проникновения внедрялась веб-оболочка PHPsert, обеспечивающая долгосрочный доступ. Далее кибершпионы проводили разведку, собирали учётные данные и перемещались по сети с помощью RDP и методов Pass-the-Hash.

Для атак Pass-the-Hash использовался модифицированный вариант Mimikatz, известный как mimCN. Этот инструмент связан с другими китайскими кибершпионскими операциями, такими как Operation Soft Cell. Общие черты кода и уникальные функции подтверждают, что он создавался одной командой разработчиков.

В ходе атаки активно применялись SSH и Visual Studio Code Remote Tunnels для выполнения удалённых команд. Для подключения злоумышленники использовали GitHub-аккаунты, хотя пока неясно, были ли они зарегистрированными с нуля или взломанными.

Дополнительные признаки, указывающие на китайское происхождение атак, включают комментарии на упрощённом китайском языке в коде PHPsert, использование инфраструктуры румынского провайдера M247 и совпадение тактик с группой Mustang Panda. Кроме того, активность злоумышленников совпадала с рабочими часами в Китае.

Кампания Operation Digital Eye демонстрирует стратегию кибершпионажа: атака на компании, предоставляющие IT-услуги, позволяет распространять угрозу через их цепочки поставок. Использование Visual Studio Code Remote Tunnels подчёркивает практичность китайских APT-групп, которые стремятся замаскировать свои действия под легитимную активность.
 
Сверху