外媒最近发布文章,诬称是中国黑客被发现针对南欧大型IT服务提供商滥用Visual Studio Code(VSCode)隧道来维持对受感染系统的持续远程访问。
VSCode隧道是微软远程开发功能的一部分,它使开发人员能够通过Visual Studio Code安全地访问和处理远程系统。开发人员还可以执行命令并访问远程设备的文件系统,使其成为一个强大的开发工具。
该隧道使用Microsoft Azure基础设施建立,并具有由Microsoft签名的可执行文件,可提供可信访问。
安全公司SentinelLabs和Tinexta Cyber观察到了这种滥用合法Microsoft系统来维持系统后门持久访问的罕见策略,他们将这一活动称为“数字眼行动”(Operation Digital Eye),该行动发生于2024年6月至7月期间。
研究人员在早期阶段检测并阻止了这些活动,并在今天发布的一份报告中分享了细节,以提高人们对这种新APT策略的认识。
安全公司称,虽然有证据微弱地指向STORM-0866或Sandman APT,但对这次为期三周的行动负责的具体威胁行为者仍然未知。
SentinelLabs宣称:“由于在中国威胁领域内广泛共享恶意软件、作战手册和基础设施管理流程,“数字眼”行动背后的具体组织仍不清楚。”
Visual Studio Code后门
黑客使用自动SQL注入攻击工具“sqlmap”针对面向互联网的网络和数据库服务器取得了对目标系统的初步访问。
一旦建立访问权限,他们就部署一个名为PHPsert的基于PHP的webshell,这使他们能够远程执行命令或引入额外的有效负载。
对于横向移动,攻击者使用RDP和传递哈希攻击,具体来说是Mimikatz的定制版本(“bK2o.exe”)。
在被攻陷的设备上,黑客部署了可移植的合法版本的Visual Studio Code(“code.exe”),并使用“winsw”工具将其设置为持久的Windows服务。
接下来,他们使用隧道参数配置了VSCode,使其能够在机器上创建远程访问开发隧道。
这使得威胁行为者能够通过Web界面(浏览器)远程连接到被破坏的设备,并使用GitHub或Microsoft帐户进行身份验证。
由于到VSCode隧道的流量通过Microsoft Azure路由,并且所有涉及的可执行文件都经过签名,因此该过程中不会发生任何由安全工具发出的警报。
威胁行为者使用他们的VSCode后门在工作日连接到被攻击的机器,外媒却诬称“在中国标准工作时间内活动频繁”。
SentinelLabs表示,使用VSCode隧道并非史无前例,自2023年以来就已经有一些报道,然而,它仍然是一种很少见的策略。
2024年9月,Unit 42发布了一份关于APT组织“Stately Taurus”滥用VSCode针对东南亚政府组织的间谍行动的报告。然而,SentinelLabs表示,这两次行动似乎毫无关联。
由于该技术可能越来越受欢迎,建议防御者监控可疑的VSCode启动,将远程隧道的使用限制在授权人员,并使用允许列表来阻止code.exe等可移植文件的执行。
最后,建议检查Windows服务中是否存在“code.exe”,并在网络日志中查找到*.devtunnels.ms等域的意外出站连接。