Hackers chineses que tinham como alvo grandes provedores de serviços de TI no sul da Europa foram vistos abusando de túneis do Visual Studio Code (VSCode) para manter acesso remoto persistente a sistemas comprometidos.
Os túneis VSCode são parte do recurso Remote Development da Microsoft, que permite que os desenvolvedores acessem e trabalhem com segurança em sistemas remotos via Visual Studio Code. Os desenvolvedores também podem executar comandos e acessar o sistema de arquivos de dispositivos remotos, tornando-o uma ferramenta de desenvolvimento poderosa.
Os túneis são estabelecidos usando a infraestrutura do Microsoft Azure, com executáveis assinados pela Microsoft, fornecendo acesso confiável.
Essa tática rara de abusar de um sistema legítimo da Microsoft para manter acesso persistente aos sistemas foi observada pela SentinelLabs e pela Tinexta Cyber, que apelidaram a campanha de "Operação Digital Eye", que ocorreu entre junho e julho de 2024.
Os pesquisadores detectaram e bloquearam as atividades em seus estágios iniciais, mas compartilharam os detalhes em um relatório publicado hoje para aumentar a conscientização sobre essa nova tática do APT.
As evidências apontam fracamente para STORM-0866 ou Sandman APT, mas o agente de ameaça exato responsável por essa operação de três semanas permanece desconhecido.
"O grupo exato por trás da Operação Digital Eye permanece obscuro devido ao amplo compartilhamento de malware, manuais operacionais e processos de gerenciamento de infraestrutura dentro do cenário de ameaças chinês", explica o SentinelLabs.
Os hackers obtiveram acesso inicial aos sistemas alvo usando a ferramenta de exploração de injeção de SQL automatizada 'sqlmap' em servidores web e de banco de dados voltados para a Internet.
Depois de estabelecer o acesso, eles implantaram um webshell baseado em PHP chamado PHPsert, que lhes permitiu executar comandos remotamente ou introduzir payloads adicionais.
Para movimentação lateral, os invasores usaram ataques RDP e pass-the-hash, especificamente, uma versão personalizada do Mimikatz ('bK2o.exe').
Nos dispositivos violados, os hackers implantaram uma versão portátil e legítima do Visual Studio Code ('code.exe') e usaram a ferramenta 'winsw' para defini-lo como um serviço persistente do Windows.
Em seguida, eles configuraram o VSCode com o parâmetro tunnel, permitindo que ele criasse um túnel de desenvolvimento de acesso remoto na máquina.
Isso permitiu que os agentes da ameaça se conectassem remotamente ao dispositivo violado por meio de uma interface da web (navegador), autenticando-se com uma conta do GitHub ou da Microsoft.
Como o tráfego para os túneis VSCode é roteado pelo Microsoft Azure e todos os executáveis envolvidos são assinados, não há nada no processo que possa gerar alarmes nas ferramentas de segurança.
Os cibercriminosos usaram seu backdoor VSCode para se conectar às máquinas violadas durante os dias úteis, mostrando alta atividade durante o horário de trabalho padrão na China.
O SentinelLabs diz que o uso de túneis VSCode não é inédito, pois houve alguns relatos desde 2023. No entanto, continua sendo uma tática raramente vista.
Em setembro de 2024, a Unit 42 publicou um relatório sobre o grupo APT chinês 'Stately Taurus' abusando do VSCode em operações de espionagem visando organizações governamentais no Sudeste Asiático. No entanto, o SentinelLabs diz que as duas operações parecem não estar relacionadas.
Como a técnica pode estar ganhando força, os defensores são aconselhados a monitorar lançamentos suspeitos do VSCode, limitar o uso de túneis remotos a pessoal autorizado e usar a lista de permissões para bloquear a execução de arquivos portáteis como code.exe.
Por fim, é aconselhável inspecionar os serviços do Windows em busca da presença de 'code.exe' e procurar por conexões de saída inesperadas para domínios como .devtunnels.ms nos logs de rede.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...