Kínai hackerek kihasználják a Visual Studio Code-t Délkelet-Ázsiában
A Mustang Panda néven ismert, Kínához köthető APT csoport megfigyelések szerint a Visual Studio Code szoftvert használja fel a délkelet-ázsiai kormányzati szervek ellen irányuló kémkedési műveletek részeként. „Ez a fenyegető szereplő a Visual Studio Code beágyazott reverse shell funkcióját használta arra, hogy megvethesse a lábát a célhálózatokban” – írta jelentésében Tom Fakterman, a Palo Alto Networks Unit 42 kutatója, aki viszonylag új technikának nevezte, amelyet először 2023 szeptemberében mutatott be Truvis Thornton. A kampányt egy korábban dokumentált, 2023 szeptember végén egy meg nem nevezett délkelet-ázsiai kormányzati szervezet ellen irányuló támadási tevékenység folytatásának értékelték. A BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta és Red Lich néven is ismert Mustang Panda 2012 óta működik, és rendszeresen végez kiberkémkedési kampányokat kormányzati és vallási szervezetek ellen Európában és Ázsiában, különösen a dél-kínai-tengeri országokban található szervezetek ellen.
A legutóbbi megfigyelt támadássorozat azért figyelemre méltó, mert visszaél a Visual Studio Code reverse shell-el, hogy tetszőleges kódot hajtson végre és további hasznos terheléseket juttasson el a célszervezetekhez. „A Visual Studio Code rosszindulatú célokra való visszaéléshez a támadó használhatja a code.exe (a Visual Studio Code futtatható fájlja) hordozható változatát, vagy a szoftver már telepített verzióját” – jegyezte meg Fakterman. „A code.exe tunnel parancs futtatásával a támadó egy olyan linket kap, amely megköveteli, hogy a saját fiókjával bejelentkezzen a GitHubra”. Ha ez a lépés megtörtént, a támadó átirányításra kerül egy Visual Studio Code webes környezetbe, amely a fertőzött géphez kapcsolódik, és lehetővé teszi számára, hogy parancsokat futtasson vagy új fájlokat hozzon létre.
Érdemes kiemelni, hogy ennek a technikának a rosszindulatú alkalmazására a Check Point Network Security gateway termékeiben található zero-day sérülékenység kihasználásával kapcsolatban (CVE-2024-24919, CVSS score: 8.6) hívták fel a figyelmet az év elején. A Unit 42 szerint a Mustang Panda kihasználta a mechanizmust rosszindulatú programok terjesztésére, felderítésre és érzékeny adatok kiszivárogtatására. Továbbá a támadó állítólag az OpenSSH-t használta parancsok végrehajtására, fájlok átvitelére és a hálózaton belüli terjedésre.
