СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
25 мая
#ИБ

Фишинг PSCA и злоупотребление VS Code Remote Tunnels

Был проанализирован сложный многоэтапный phishing campaign, нацеленный на Управление безопасных городов Пенджаба (PSCA) и PPIC3 в Пакистане. По данным отчета, злоумышленники применяли интеллектуальные тактики, сочетая targeted phishing, имперсонацию внутренних коммуникаций и злоупотребление легитимными инструментами для закрепления в инфраструктуре жертвы.

Как строилась схема атаки

Кампания начиналась с отправки писем, которые маскировались под внутренние служебные сообщения, связанные с проектом Safe Jail. В тексте использовалась знакомая терминология о проектных работах и схемах систем, что делало подделку убедительнее и повышало шансы на доверие со стороны получателей.

Особое внимание злоумышленники уделили разведке внутренней структуры организации. В письмах использовались конкретные имена и должности адресатов, что свидетельствует о тщательной предварительной подготовке и попытке повысить достоверность обмана.

Microsoft Word document с macros и Discord webhooks

Ключевым техническим элементом атаки стал Microsoft Word document с встроенными macros, предназначенными для загрузки и запуска бинарного файла code.exe. После открытия документа вредоносный macro выполнялся автоматически, что приводило к компрометации устройства жертвы.

Далее атакующие использовали macros для захвата и эксфильтрации device authorization codes через Discord webhooks. Для передачи данных формировался JSON-пакет, который отправлялся в Discord, обеспечивая злоумышленникам канал для обновления статуса и кражи информации.

«После открытия документа вредоносный macro выполнялся автоматически, что приводило к компрометации безопасности устройства и последующей подготовке JSON-пакета для отправки захваченной информации в Discord».

Злоупотребление VS Code Remote Tunnels

Отдельного внимания заслуживает использование Visual Studio Code (VS Code). Злоумышленники творчески переиспользовали легитимную функцию VS Code Remote Tunnels, которая обычно предназначена для подключения к удаленной машине. В этой кампании она была использована для несанкционированного доступа и закрепления на скомпрометированном устройстве.

После того как жертва завершала аутентификацию устройства Microsoft, macro уведомлял атакующих через Discord. Это позволяло им продолжать вредоносные действия с помощью службы tunnel, которая обеспечивала постоянное соединение с системой.

Эксплуатация VS Code создавала значительные риски, поскольку злоумышленники получали доступ к полнофункциональной development environment. В результате они могли:

  • использовать встроенный terminal для действий через backdoor;
  • создавать malware на машине жертвы;
  • выполнять различные commands для достижения своих целей;
  • манипулировать легитимной инфраструктурой вместо применения традиционного backdoor.

Фактически атакующие опирались не на классический backdoor, а на мошеннически полученные учетные данные, чтобы включить систему жертвы в свою вредоносную инфраструктуру.

Второй вектор: ClickOnce manifest под видом PDF

Вторичным компонентом атаки стал ClickOnce deployment manifest с названием ANPR Report.pdf. Этот файл использовался для установки и запуска .NET payload через технологию Microsoft ClickOnce, предназначенную для загрузки исполняемого файла, предположительно называемого Adobe.exe.

Таким образом, злоумышленники расширяли вектор заражения и увеличивали вероятность успешного выполнения вредоносного кода. Необычное именование и версионирование manifest указывали на возможную тактику impersonation.

Анализ также показал важность среды выполнения: Microsoft Edge и Internet Explorer рассматривались как подходящие цели, поскольку именно они поддерживают ClickOnce и по-разному обрабатывают такие файлы.

Вывод

Рассмотренная кампания демонстрирует высокий уровень подготовки и сочетание социальных и технических приемов. Злоумышленники использовали целевой phishing, macros, Discord webhooks, VS Code Remote Tunnels и ClickOnce manifest, чтобы добиться компрометации устройств и устойчивого доступа к ним.

Сценарий атаки показывает, насколько опасным может быть сочетание имперсонации, злоупотребления легитимными сервисами и точечной подстройки под внутренние процессы организации. Для защищающихся команд это означает необходимость усиливать контроль над macros, поведенческим анализом вложений, использованием легитимных remote tools и проверкой подозрительных ClickOnce-файлов.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: