Un conocido grupo chino de amenazas persistentes avanzadas (APT), conocido como Mustang Panda, es el probable culpable detrás de una sofisticada y continua campaña de ciberespionaje. Comienza con un correo electrónico malicioso y finalmente utiliza Visual Studio Code (VS Code) para distribuir malware basado en Python que brinda a los atacantes acceso remoto persistente y no autorizado a las máquinas infectadas.
Los investigadores del Cyble Research and Intelligence Lab (CRIL) descubrieron la campaña, que distribuye un archivo .lnk disfrazado de un archivo de instalación legítimo para descargar un paquete de distribución de Python. En realidad, se utiliza para ejecutar scripts Python maliciosos. El ataque se basa en el uso de VS Code, que, si no está presente en la máquina, el atacante lo implementará mediante la instalación de la interfaz de línea de comandos (CLI) de VS Code, señalaron los investigadores. en análisis publicado el 2 de octubre.
«EL [threat actor (TA)] opera un [VS Code] herramienta para iniciar un túnel remoto y recuperar un código de activación, que el TA puede usar para obtener acceso remoto no autorizado a la máquina de la víctima», según la publicación del blog sobre el ataque. «Esto permite al TA interactuar con el sistema, acceder a archivos y realizar actividades maliciosas adicionales, incluida la filtración de datos y la distribución de otro malware.
Aunque la atribución del ataque no está del todo clara, los investigadores encontraron material en idioma chino e identificaron tácticas, técnicas y procedimientos (TTP) en el flujo de ataque que apuntan al grupo chino APT, quizás mejor conocido como panda mustang. Cyble lo sigue como toro majestuosoy también recibe los nombres de Presidente Bronce, Camaro Dragón, Earth Preta, Luminous Moth y Red Delta.
Misión: Obtener acceso no autorizado
El ataque comienza ejecutando el archivo .lnk, que muestra un mensaje falso de «instalación exitosa» en chino mientras descarga silenciosamente componentes adicionales en segundo plano. Entre ellos se encuentra un paquete de distribución de Python, que finalmente descarga un script malicioso. esto es lo de arriba secuencia de comandos de Python, que una vez ejecutado verifica si VS Code ya está instalado en el sistema verificando la existencia de un directorio en particular. Si no se encuentra, el script procede a descargar la interfaz de línea de comandos (CLI) de VS Code desde una fuente de Microsoft.
Finalmente, este script establece una tarea para garantizar la persistencia de sus actividades maliciosas, que incluye establecer un túnel lejano para permitir que los atacantes accedan a la máquina infectada. Al establecer el túnel, los atacantes utilizan VS Code Remote-Tunnels, una extensión que normalmente se utiliza para conectarse a una máquina remota, como un escritorio o una máquina virtual (VM), a través de un túnel seguro, según Cyble. «Esto permite a los usuarios [remotely] acceder a la máquina desde cualquier [VS Code] cliente sin necesidad de SSH», según el mensaje.
Los atacantes también aprovechan estratégicamente otra entidad legítima, el repositorio de desarrolladores de GitHub, para acceder a los archivos de la máquina infectada. Al configurar el túnel remoto, el script lo asocia automáticamente con una cuenta de GitHub para la autenticación y extrae un código de activación para permitir más actividad maliciosa más adelante en el ataque.
El malware también extrae una lista de procesos que se ejecutan en la máquina de la víctima y los envía directamente al servidor de comando y control (C2), luego recopila otros datos confidenciales, como la configuración de idioma del sistema, la ubicación geográfica y la computadora. nombre, nombre de usuario, dominio de usuario y detalles de privilegios de usuario. También recopila nombres de carpetas de varios directorios.
Una vez que los atacantes reciben los datos exfiltrados, pueden iniciar sesión para acceder de forma remota al dispositivo utilizando una cuenta de GitHub. «Aquí, el TA puede ingresar el código de activación alfanumérico exfiltrado para obtener acceso no autorizado a la máquina de la víctima», según Cyble.
«Este grado de acceso les permite no sólo explorar los archivos de las víctimas, sino también ejecutar comandos a través de la terminal», según la publicación. «A través de este control, la TA puede realizar diversas acciones, como instalar malware, extraer información confidencial o modificar la configuración del sistema, lo que podría conducir a una mayor explotación del sistema y de los datos de la víctima».
La defensa APT requiere cibervigilancia
En el momento en que Cyble publicó el estudio, el script Python malicioso implementado por el ataque no fue detectado en VirusTotal, lo que dificulta que los defensores lo detecten a través de herramientas de seguridad estándar, señalaron los investigadores.
Para mitigar este tipo de ataques sofisticados APT como Mustang PandaCyble recomienda que las organizaciones utilicen soluciones avanzadas de protección de terminales que incluyan análisis de comportamiento y capacidades de aprendizaje automático para detectar y bloquear actividades sospechosas, incluso aquellas que involucran aplicaciones legítimas como VS Code. Los defensores también deben revisar periódicamente las tareas programadas en todos los sistemas para identificar entradas no autorizadas o inusuales, lo que puede ayudar a detectar mecanismos de persistencia establecidos por actores maliciosos.
Otras actividades de mitigación incluyen la implementación de sesiones de capacitación para educar a los usuarios sobre los riesgos de abrir archivos o enlaces sospechosos, particularmente aquellos relacionados con archivos .lnk y fuentes desconocidas. En general, las organizaciones también deben limitar los permisos de los usuarios para instalar software, especialmente para herramientas explotables como VS Code, así como utilizar la lista blanca de aplicaciones para controlar qué aplicaciones se pueden instalar y ejecutar en los sistemas.