Microsoft VS Code víctima de ataque espía en Asia

Microsoft VS Code víctima de ataque espía en Asia

Un grupo de espías alineado con el estado chino se ha convertido en el primer actor de amenazas documentado en utilizar un exploit conocido en VS Code en un ataque malicioso.

código de estudio visualo VS Code, es el editor de código fuente gratuito de Microsoft para Windows, Linux y macOS. Según la encuesta de 2023 de Stack Overflow a 86.544 desarrolladores, es, con diferencia, el entorno de desarrollo integrado (IDE) más popular entre los desarrolladores principiantes (78%) y profesionales (74%). El 28% de los encuestados utilizó el segundo IDE más popular, Visual Studio.

En septiembre de 2023, un investigador de amenazas describió cómo un atacante podría aprovechar una función de VS Code llamada «Tunneling» para obtener acceso inicial al entorno de un objetivo. Al principio, la táctica era sólo un elemento básico del equipo rojo. Hoy, según la Unidad 42 de Palo Alto Networks, China panda mustang (también conocido como Stately Taurus, Bronze President, RedDelta, Luminous Moth, Earth Preta y Camaro Dragon) lo usó en un ataque de espionaje contra un entidad gubernamental en el sudeste asiático.

Dark Reading se acercó a Microsoft para comentar sobre esta historia, sin respuesta inmediata.

Transformar código VS en Shell inverso

“Uno de los peores temores de un experto en ciberseguridad es detectar y prevenir la presencia de un binario de shell inverso firmado”, escribió Truvis Thornton, un año antes de la última investigación de la Unidad 42 “¿Adivina qué? Microsoft felizmente nos proporcionó uno. »

Lanzado por primera vez en julio de 2023, VS Code Tunnel permite a los usuarios compartir sus entornos VS Code en la web abierta y solo requiere autenticación a través de una cuenta de GitHub.

Un atacante con las credenciales de GitHub de su víctima podría causar algún daño, pero lo peor es que puede instalar de forma remota una versión portátil de VS Code en una máquina específica. Como es un binario firmado legítimo, el software de seguridad no lo marcará como sospechoso.

Y, sin embargo, caminará y hablará como un caparazón invertido. Al ejecutar el comando «túnel code.exe», el atacante abre una página de autenticación de GitHub, en la que puede iniciar sesión con su propia cuenta. Luego se redirige a un entorno VS Code conectado al sistema de destino y es libre de ejecutar comandos y scripts e introducir nuevos archivos a voluntad.

Mustang Panda, una amenaza persistente avanzada (APT) de 12 años conocida por su espionaje contra gobiernos, organizaciones no gubernamentales (ONG) y grupos religiosos en Asia y Europa, utilizó este manual para realizar reconocimientos contra su objetivo y lanzar malware. y, lo que es más importante para sus fines, exfiltrar datos confidenciales.

Cómo administrar VSCode

«Si bien el uso indebido de VSCode es preocupante, en nuestra opinión no es una vulnerabilidad», afirma Assaf Dahan, director de investigación de amenazas de la Unidad 42. En cambio, afirma: Esta es una característica legítima de la que han abusado actores maliciosos, como Esto suele suceder con muchos programas de software legítimos (por ejemplo, lolbins). »

Hay varias formas en que las empresas pueden protegerse contra un ataque Bring Your Own VSCode. Además de buscar indicadores de compromiso (IoC), añade: «También es importante determinar si la empresa quiere limitar o bloquear el uso de VSCode en los dispositivos de los empleados que no son desarrolladores o que no lo necesitan. para utilizar esta aplicación específica. Esto puede reducir la superficie de ataque. »

«Finalmente, considere limitar el acceso a los dominios del túnel VSCode ‘.tunnels.api.visualstudio[.]com’ o ‘.devtunnels[.]ms’ para usuarios con un requisito comercial válido. Tenga en cuenta que estos dominios son legítimos y no maliciosos, pero limitar el acceso a ellos impedirá que la función funcione correctamente y, por lo tanto, la hará menos atractiva para los malos actores”, añade.

Un segundo ataque superpuesto

Mientras investigaba el ataque del Mustang Panda, la Unidad 42 se encontró con un segundo grupo de amenazas que ocupaban los sistemas del mismo objetivo.

En este caso, el atacante abusó de imecmnt.exe, un archivo legítimo y firmado asociado con el Editor de métodos de entrada (IME) de Microsoft, utilizado para generar texto en idiomas no adecuados para el teclado QWERTY, con descarga de biblioteca de vínculos dinámicos (DLL). El archivo que arrojaron, ShadowPad, es una puerta trasera modular de 7 años popular entre los malos actores chinos.

Este compromiso ocurrió al mismo tiempo que la explotación de VS Code, a menudo en los mismos puntos finales, y las superposiciones no terminan ahí. Aún así, los investigadores no pueden decir con certeza si este segundo grupo de actividad maliciosa puede atribuirse al Mustang Panda. «También podría haber otros escenarios posibles para explicar este vínculo», escribieron. “Por ejemplo, podría ser un esfuerzo conjunto entre dos grupos APT chinos o quizás dos grupos diferentes aprovechando el acceso de cada uno. »

No te pierdas las últimas noticias Podcast confidencial de lectura oscuradonde hablamos con dos profesionales de la ciberseguridad que fueron arrestados en el condado de Dallas, Iowa, y obligados a pasar la noche en la cárcel, simplemente por realizar su trabajo de pruebas de penetración. ¡Escuche ahora!