Η κινέζικη χάκινγκ συμμορία, γνωστή ως Mustang Panda, ενσωματώνει το λογισμικό Visual Studio Code σε επιχειρήσεις κατασκοπείας που στοχεύουν κυβερνητικές οντότητες στη Νοτιοανατολική Ασία.

“Αυτός ο παράγοντας απειλής εκμεταλλεύτηκε το ενσωματωμένο χαρακτηριστικό reverse shell του Visual Studio Code για να αποκτήσει πρόσβαση σε δίκτυα-στόχους,” δήλωσε ο Tom Fakterman, ερευνητής της Unit 42 της Palo Alto Networks, σε μια έκθεση. Περιγράφοντας την τεχνική ως “σχετικά νέα,” σημείωσε ότι εμφανίστηκε για πρώτη φορά τον Σεπτέμβριο του 2023 από τον Truvis Thornton.

Δείτε ακόμα: Η Mustang Panda στοχεύει την Ασία με την παραλλαγή DOPLUGS

Η εκστρατεία φαίνεται να αποτελεί συνέχεια μιας προηγούμενης επίθεσης που είχε στόχο μια ανώνυμη κυβερνητική οντότητα της Νοτιοανατολικής Ασίας, η οποία σημειώθηκε στα τέλη Σεπτεμβρίου 2023.

Η Mustang Panda, γνωστή επίσης ως BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta και Red Lich, δραστηριοποιείται από το 2012, πραγματοποιώντας τακτικές εκστρατείες κυβερνοκατασκοπείας που στοχεύουν κυβερνητικές και θρησκευτικές οντότητες σε όλη την Ευρώπη και την Ασία, με ιδιαίτερη έμφαση σε χώρες της Νότιας Σινικής Θάλασσας.

Η πιο πρόσφατη σειρά επιθέσεων είναι αξιοσημείωτη λόγω της κακόβουλης εκμετάλλευσης του reverse shell του Visual Studio Code, που επιτρέπει την εκτέλεση αυθαίρετου κώδικα και τη μετάδοση πρόσθετων κακόβουλων φορτίων.

“Για να καταχραστεί τον κώδικα του Visual Studio για κακόβουλους σκοπούς, ένας χάκερ μπορεί να αξιοποιήσει την έκδοση του αρχείου code.exe (το εκτελέσιμο του Visual Studio) ή μια ήδη εγκατεστημένη έκδοση του λογισμικού,” σύμφωνα με τον Fakterman. “Εκτελώντας την εντολή code.exe tunnel, ο χάκερ αποκτά έναν σύνδεσμο που απαιτεί να συνδεθεί στο GitHub με τον προσωπικό του λογαριασμό.”

Αφότου ολοκληρωθεί αυτό το βήμα, ο χάκερ ανακατευθύνεται σε ένα περιβάλλον web του Visual Studio Code, το οποίο είναι συνδεδεμένο με το μολυσμένο σύστημα. Αυτό του επιτρέπει να εκτελεί εντολές ή να δημιουργεί νέα αρχεία.

Διαβάστε περισσότερα: Mustang Panda hackers: Χρησιμοποιούν το νέο backdoor MQsTTang

Είναι σημαντικό να σημειωθεί ότι η κακόβουλη εκμετάλλευση αυτής της τεχνικής είχε προηγουμένως εντοπιστεί από την ολλανδική εταιρεία κυβερνοασφάλειας Mnemonic, σε σχέση με τη zero-day εκμετάλλευση μίας φετινής ευπάθειας στα gateway προϊόντα της Check Point’s Network Security (CVE-2024-24919, βαθμολογία CVSS: 8,6).

Η Unit 42 ανέφερε ότι η χάκινγκ συμμορία Mustang Panda χρησιμοποίησε τον μηχανισμό για να μεταδώσει κακόβουλο λογισμικό (malware), εκτέλεση αναγνώρισης και εξαγωγή ευαίσθητων δεδομένων. Επιπλέον, ο χάκερ φέρεται να χρησιμοποίησε το OpenSSH για να εκτελεί εντολές, να μεταφέρει αρχεία και να επεκτείνει την πρόσβαση σε ολόκληρο το δίκτυο.

Δεν είναι όμως μόνο αυτό. Μια πιο προσεκτική ανάλυση του μολυσμένου περιβάλλοντος αποκάλυψε ένα δεύτερο σύμπλεγμα δραστηριότητας που εκδηλώνεται ταυτόχρονα και, σε ορισμένες περιπτώσεις, ακόμη και στα ίδια τελικά σημεία (endpoints). Αυτό το σύμπλεγμα χρησιμοποιεί το κακόβουλο λογισμικό ShadowPad, ένα αρθρωτό backdoor που διανέμεται ευρέως από κινέζικες συμμορίες κατασκοπείας.

Δείτε επίσης: Visual Studio Code: Eλάττωμα επιτρέπει σε επεκτάσεις να κλέβουν credentials

Προς το παρόν, δεν είναι σαφές αν αυτά τα δύο σύνολα εισβολής συνδέονται ή αν δύο διαφορετικές ομάδες «παρεμβαίνουν στην πρόσβαση η μία της άλλης».

Πηγή: thehackernews