Ciberseguridad 360 | Hackers utilizan túneles remotos de Visual Studio Code como arma para el ciberespionaje

Un presunto grupo de ciberespionaje con v�nculos con China ha sido atribuido a ataques dirigidos contra grandes proveedores de servicios de TI entre empresas en el sur de Europa como parte de una campa�a denominada Operaci�n Digital Eye .

Las intrusiones tuvieron lugar desde finales de junio hasta mediados de julio de 2024, dijeron las empresas de ciberseguridad SentinelOne SentinelLabs y Tinexta Cyber ??en un informe conjunto, agregando que las actividades fueron detectadas y neutralizadas antes de que pudieran progresar a la fase de exfiltraci�n de datos.

"Las intrusiones podr�an haber permitido a los adversarios establecer puntos de apoyo estrat�gicos y comprometer entidades posteriores", dijeron los investigadores de seguridad Aleksandar Milenkoski y Luigi Martire .

"Los actores de amenazas abusaron de Visual Studio Code y la infraestructura de Microsoft Azure para fines C2 [comando y control], intentando evadir la detecci�n haciendo que las actividades maliciosas parecieran leg�timas".

Actualmente no se sabe qu� grupo de piratas inform�ticos vinculado a China est� detr�s de los ataques, un aspecto complicado por el amplio conjunto de herramientas e infraestructura compartida entre actores de amenazas alineados con la naci�n del este asi�tico.

Un elemento central de la Operaci�n Digital Eye es la utilizaci�n de t�neles remotos de Microsoft Visual Studio Code para C2, una caracter�stica leg�tima que permite el acceso remoto a puntos finales, otorgando a los atacantes la capacidad de ejecutar comandos arbitrarios y manipular archivos.

Parte de la raz�n por la que los piratas inform�ticos respaldados por el gobierno utilizan esa infraestructura de nube p�blica es para que su actividad se mezcle con el tr�fico t�pico que detectan los defensores de la red. Adem�s, dichas actividades emplean archivos ejecutables leg�timos que no est�n bloqueados por los controles de aplicaciones y las reglas del firewall.

Las cadenas de ataque observadas por las empresas implican el uso de inyecci�n SQL como vector de acceso inicial para vulnerar aplicaciones y servidores de bases de datos conectados a Internet. La inyecci�n de c�digo se lleva a cabo mediante una herramienta leg�tima de pruebas de penetraci�n llamada SQLmap que automatiza el proceso de detecci�n y explotaci�n de fallas de inyecci�n SQL.

Un ataque exitoso es seguido por la implementaci�n de un shell web basado en PHP llamado PHPsert que permite a los actores de la amenaza mantener un punto de apoyo y establecer un acceso remoto persistente. Los pasos posteriores incluyen el reconocimiento, la recolecci�n de credenciales y el movimiento lateral a otros sistemas en la red mediante el Protocolo de escritorio remoto (RDP) y t�cnicas de transferencia de hash.

"Para los ataques pass-the-hash, utilizaron una versi�n modificada y personalizada de Mimikatz", dijeron los investigadores. La herramienta "permite la ejecuci�n de procesos dentro del contexto de seguridad de un usuario aprovechando un hash de contrase�a NTLM comprometido, evitando la necesidad de la contrase�a real del usuario".

Las superposiciones sustanciales en el c�digo fuente sugieren que la herramienta a medida proviene de la misma fuente que las observadas exclusivamente en presuntas actividades de ciberespionaje chino, como Operation Soft Cell y Operation Tainted Love. Estas modificaciones personalizadas de Mimikatz, que tambi�n incluyen certificados de firma de c�digo compartidos y el uso de mensajes de error personalizados �nicos o t�cnicas de ofuscaci�n, se han denominado colectivamente mimCN.

"La evoluci�n a largo plazo y el control de versiones de las muestras de mimCN, junto con caracter�sticas notables como las instrucciones dejadas para un equipo separado de operadores, sugieren la participaci�n de un proveedor compartido o intendente digital responsable del mantenimiento activo y el suministro de herramientas", se�alaron los investigadores.

"Esta funci�n dentro del ecosistema APT chino, corroborada por la filtraci�n de I-Soon , probablemente juega un papel clave a la hora de facilitar las operaciones de espionaje cibern�tico con China".

Tambi�n es de destacar la dependencia de SSH y t�neles remotos de Visual Studio Code para la ejecuci�n remota de comandos, y los atacantes utilizan cuentas de GitHub para autenticarse y conectarse al t�nel para acceder al punto final comprometido a trav�s de la versi�n basada en navegador de Visual Studio Code ("vscode[.]dev").

Dicho esto, no se sabe si los actores de la amenaza utilizaron cuentas de GitHub recientemente registradas o ya comprometidas para autenticarse en los t�neles.

Adem�s de mimCN, algunos de los otros aspectos que apuntan a China son la presencia de comentarios en chino simplificado en PHPsert, el uso de infraestructura proporcionada por el proveedor de servicios de alojamiento rumano M247 y el uso de Visual Studio Code como puerta trasera, el �ltimo de los cuales ha sido atribuido al actor Mustang Panda.

Adem�s, la investigaci�n encontr� que los operadores estaban activos principalmente en las redes de las organizaciones atacadas durante el horario laboral t�pico en China, principalmente entre las 9 am y las 9 pm CST.

"La campa�a subraya la naturaleza estrat�gica de esta amenaza, ya que atacar a organizaciones que proporcionan datos, infraestructura y soluciones de ciberseguridad a otras industrias les da a los atacantes un punto de apoyo en la cadena de suministro digital, lo que les permite extender su alcance a entidades posteriores", dijeron los investigadores.

"El uso indebido de los t�neles remotos de Visual Studio Code en esta campa�a ilustra c�mo los grupos APT chinos suelen recurrir a m�todos pr�cticos y orientados a la b�squeda de soluciones para evadir la detecci�n. Al aprovechar una herramienta de desarrollo y una infraestructura de confianza, los actores de la amenaza pretend�an disfrazar sus actividades maliciosas como leg�timas".

Fuente: thehackernews