Güney Avrupa'daki büyük BT servis sağlayıcılarını hedefleyen Çinli bilgisayar korsanları, tehlikeye atılan sistemlere kalıcı uzaktan erişimi sürdürmek için Visual Studio Kodu (VSCODE) tünellerini kötüye kullandılar.
VSCODE tünelleri, geliştiricilerin Visual Studio kodu aracılığıyla uzak sistemlere güvenli bir şekilde erişmesini ve çalışmasını sağlayan Microsoft'un Uzaktan Geliştirme özelliğinin bir parçasıdır. Geliştiriciler ayrıca komutu yürütebilir ve uzak cihazların dosya sistemine erişebilir ve bu da onu güçlü bir geliştirme aracı haline getirebilir.
Tüneller, Microsoft tarafından imzalanan ve güvenilir erişim sağlayan Microsoft Azure Altyapısı kullanılarak kurulmuştur.
Sistemlere kalıcı arka kapıdan erişimi sürdürmek için meşru bir Microsoft sistemini kötüye kullanmanın bu nadir taktiği, Haziran ve Temmuz 2024 arasında gerçekleşen 'Dijital Eye Operasyonu' kampanyası olarak adlandırılan Sentinellabs ve Tinexta Cyber tarafından gözlendi.
Araştırmacılar, faaliyetleri erken aşamalarında tespit ettiler ve engellediler, ancak bu yeni APT taktiği hakkında farkındalığı artırmak için bugün yayınlanan bir raporda ayrıntıları paylaştılar.
Kanıtlar Storm-0866 veya Sandman Apt'a zayıf bir şekilde işaret ediyor, ancak bu üç haftalık operasyondan sorumlu tam tehdit oyuncusu bilinmiyor.
Sentinellabs, "Operasyon Dijital Eye'nın arkasındaki tam grup, kötü amaçlı yazılım, operasyonel oyun kitapları ve altyapı yönetimi süreçlerinin Çin tehdit manzarasındaki kapsamlı paylaşımı nedeniyle belirsizliğini koruyor."
Bilgisayar korsanları, internete bakan web ve veritabanı sunucularına karşı otomatik SQL enjeksiyon sömürü aracı 'SQLMAP' kullanılarak hedef sistemlere ilk erişim sağladı.
Erişim kurduktan sonra, Phpsert adlı PHP tabanlı bir web kabuğu kullandılar, bu da komutları uzaktan yürütmelerine veya ek yükler tanıtmalarına izin verdiler.
Yanal hareket için, saldırganlar RDP ve hurma saldırıları, özellikle Mimikatz'ın ('BK2O.EXE') özel bir versiyonunu kullandılar.
İhlal edilen cihazlarda, bilgisayar korsanları Visual Studio Kodu'nun ('Code.exe') taşınabilir, meşru bir sürümünü kullandı ve 'Winsw' aracını kalıcı bir Windows hizmeti olarak ayarlamak için kullandı.
Ardından, VSCODE'yi tünel parametresi ile yapılandırdılar ve makinede uzaktan erişim tüneli oluşturmasını sağladılar.
Bu, tehdit aktörlerinin bir GitHub veya Microsoft hesabı ile kimlik doğrulaması yapan bir web arayüzü (tarayıcı) aracılığıyla ihlal edilen cihaza uzaktan bağlanmasını sağladı.
VSCode tünellerine trafik Microsoft Azure aracılığıyla yönlendirildiğinden ve ilgili tüm yürütülebilir ürünler imzalandığından, süreçte güvenlik araçlarına göre alarmları yükseltecek hiçbir şey yoktur.
Tehdit aktörleri, iş günlerinde ihlal edilen makinelere bağlanmak için VSCode arka kapılarını kullandılar ve Çin'de standart çalışma saatlerinde yüksek aktivite gösterdi.
Sentinellabs, 2023'ten beri bazı raporlar olduğu için VSCODE tünellerinin kullanımının benzeri görülmemiş olmadığını söylüyor, ancak nadiren görülen bir taktik olmaya devam ediyor.
Eylül 2024'te Birim 42, Güneydoğu Asya'daki hükümet kuruluşlarını hedefleyen casusluk operasyonlarında Çin APT grubu 'Görkemli Toros' hakkında bir rapor yayınladı. Ancak Sentinellabs, iki operasyonun ilgisiz göründüğünü söylüyor.
Teknik çekiş elde edebileceğinden, savunuculara şüpheli VSCode lansmanlarını izlemeleri, yetkili personele uzak tünellerin kullanımını sınırlamaları ve code.exe gibi taşınabilir dosyaların yürütülmesini engellemek için izin listesini kullanmaları önerilir.
Son olarak, Windows hizmetlerini 'Code.exe' varlığı açısından incelemeniz ve ağ günlüklerinde *.devtunnels.ms gibi alanlara beklenmedik giden bağlantılar aramanız önerilir.
ABD Org, Çinli bilgisayar korsanları tarafından dört aylık saldırı yaşadı
ABD, Çinli bilgisayar korsanlarının birden fazla telekom sağlayıcısını ihlal ettiğini söylüyor
Tal Typhoon Hackers Backdoor Telcos ile Yeni Hayalet Spider Kötü Yazılım
Rus hackerlar Pakistanlı Hacker'ların sunucularını kendi saldırıları için kaçırdı
T-Mobile, son telekom ihlal dalgasında hacklendiğini doğrular
Kaynak: Bleeping Computer