Вредоносное ПО использует туннели Visual Studio Code для атак

Вредоносное ПО использует туннели Visual Studio Code для атак

Недавнее исследование кибербезопасности выявило важные уязвимости, связанные с использованием облачной инфраструктуры в операциях злоумышленников. Группа исследователей обнаружила два сервера Cobalt Strike, расположенных в Гонконге и функционирующих в облачной сети Huawei.

Подробности расследования

Сервера были активированы на портах 443 и 1001, причем основной риск был связан с конфигурацией на порту 1001, использующей конечную точку /sugrec для связи с командно-контрольным (C2) сервером.

Обнаружено, что оба сервера использовали один и тот же водяной знак 100000, который является общим идентификатором для развертываний Cobalt Strike. Важно отметить, что сертификат, связанный с сервером, использовался в 59 других IP-адресах в Интернете.

Малварь и ее функции

Анализ вредоносного ПО выявил файл с именем yqWiQTrBWj.exe (SHA-256: c717d8b26de612e15015cd55940215be336963b6062196f9d847912b98582627), который был загружен на разные платформы. Этот файл был помечен как маяк Cobalt Strike и использовал защищенные методы связи.

Данный код, написанный на Golang, использовал туннели разработки Visual Studio Code для обмена данными, что является тактикой, применяемой хакерами для избежания обнаружения. Вредоносное ПО выполняло проверку среды, собирая следующие системные данные:

  • версия операционной системы;
  • хост-файл;
  • имя компьютера;
  • часовой пояс.

Совершенствование методов атак

Далее, исследование установило, что домен, связанный с вредоносной активностью, был преобразован в IP-адрес, размещенный в инфраструктуре Microsoft Azure в Юго-Восточной Азии. URL-адрес, ассоциированный с предупреждениями, был создан менее чем за 24 часа до начала анализа.

Стоит отметить, что хакеры перепрофилировали туннели Visual Studio Code, изначально предназначенные для безопасного удаленного доступа разработчиков, чтобы интегрировать вредоносную активность с законным трафиком.

Заключение и выводы

Журналисты и эксперты в области кибербезопасности отмечают случаи использования китайскими злоумышленниками APT этих туннелей в рамках операций Digital Eye и Stately Taurus. Туннели использовались для выполнения произвольных команд и доставки дополнительной полезной нагрузки, что демонстрирует развивающуюся тенденцию в поведении хакеров.

Исследование подчеркивает, как злоумышленники манипулируют надежной инфраструктурой, такой как туннели Visual Studio Code, для сокрытия своих вредоносных действий. Это свидетельствует о высоком уровне изощренности и решительности злоумышленников в достижении своих целей.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу. Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: