آنتی ویروس پادویش

سلاح جدید جاسوسان سایبری : تونل‌های ویژوال استودیو کد !

سلاح جدید جاسوسان سایبری

هکرهای چینی با استفاده از Visual Studio Code به شرکت‌های فناوری اطلاعات حمله می‌کنند! در عملیاتی با نام رمز “چشم دیجیتال”، مهاجمان از تونل‌های ویژوال استودیو کد برای کنترل و فرماندهی سیستم‌های قربانیان استفاده کرده‌اند.  این حملات که شرکت‌های ارائه‌دهنده خدمات فناوری اطلاعات در جنوب اروپا را هدف قرار داده‌اند، خوشبختانه قبل از سرقت اطلاعات خنثی شده‌اند. ️

جاسوسان سایبری

به گزارش زوم تک از هکر نیوز، یک گروه جاسوسان سایبری مظنون به ارتباط با چین، در عملیاتی با نام رمز “چشم دیجیتال”، به ارائه‌دهندگان خدمات فناوری اطلاعات در جنوب اروپا حمله کرده است. این حملات که از اواخر ژوئن تا اواسط جولای ۲۰۲۴ رخ داده‌اند، شرکت‌های امنیت سایبری SentinelOne SentinelLabs و Tinexta Cyber را هدف قرار داده‌اند.

خوشبختانه، این فعالیت‌های مخرب قبل از اینکه به مرحله سرقت اطلاعات برسند، شناسایی و خنثی شده‌اند. محققان امنیتی می‌گویند: “این نفوذها می‌توانست به مهاجمان اجازه دهد تا جای پای استراتژیک در شبکه قربانیان ایجاد کرده و به نهادهای پایین‌دستی نیز آسیب برسانند.” نکته قابل توجه این است که مهاجمان از Visual Studio Code و زیرساخت Microsoft Azure برای کنترل و فرماندهی استفاده کرده‌اند تا فعالیت‌های مخرب خود را قانونی جلوه دهند و از شناسایی شدن فرار کنند.

تونل‌های ویژوال استودیو کد، ابزاری برای جاسوسی

در عملیات چشم دیجیتال، مهاجمان از تونل‌های Visual Studio Code برای کنترل و فرماندهی استفاده کرده‌اند. این ویژگی که به طور معمول برای دسترسی از راه دور به سیستم‌ها استفاده می‌شود، به مهاجمان این امکان را می‌دهد تا دستورات دلخواه را اجرا کرده و فایل‌ها را دستکاری کنند. استفاده از زیرساخت‌های ابری عمومی مانند GitHub به مهاجمان کمک می‌کند تا فعالیت‌های خود را در میان ترافیک عادی شبکه پنهان کنند.

زنجیره حمله

مراحل حمله مشاهده شده توسط شرکت‌های امنیتی شامل موارد زیر است:

نفوذ اولیه: استفاده از تزریق SQL به عنوان روش نفوذ اولیه برای نقض برنامه‌های تحت وب و سرورهای پایگاه داده.
استقرار وب‌شل: پس از نفوذ موفقیت‌آمیز، یک وب‌شل مبتنی بر PHP به نام PHPsert مستقر می‌شود که به مهاجمان امکان می‌دهد تا به سیستم دسترسی داشته باشند.
شناسایی و جمع‌آوری اطلاعات: جمع‌آوری اطلاعات در مورد شبکه و سیستم‌های قربانی.
حرکت جانبی: استفاده از پروتکل RDP و تکنیک‌های pass-the-hash برای دسترسی به سایر سیستم‌ها در شبکه.
ابزارهای سفارشی: استفاده از نسخه اصلاح شده Mimikatz برای اجرای فرآیندها با استفاده از هش رمز عبور NTLM و دور زدن نیاز به رمز عبور واقعی کاربر.
ردپای چین
شواهد زیادی نشان می‌دهد که این حمله به چین مرتبط است، از جمله:

وجود نظرات به زبان چینی ساده در PHPsert
استفاده از زیرساخت ارائه شده توسط ارائه‌دهنده خدمات میزبانی رومانیایی M247
استفاده از Visual Studio Code به عنوان درب پشتی
فعالیت مهاجمان در طول ساعات کاری معمول در چین
اهداف استراتژیک
هدف این حملات، نفوذ به سازمان‌هایی است که داده‌ها، زیرساخت‌ها و راه حل‌های امنیت سایبری را برای سایر صنایع فراهم می‌کنند. این امر به مهاجمان امکان می‌دهد تا به زنجیره تامین دیجیتال دسترسی پیدا کرده و دامنه نفوذ خود را گسترش دهند.

نتیجه‌گیری
این عملیات نشان می‌دهد که گروه‌های APT چینی اغلب از رویکردهای عملی برای فرار از شناسایی استفاده می‌کنند. با بهره‌گیری از ابزارها و زیرساخت‌های قابل اعتماد، مهاجمان قصد دارند فعالیت‌های مخرب خود را به عنوان فعالیت‌های قانونی پنهان کنند.

به این پست امتیاز بدید

نظرات در مورد : سلاح جدید جاسوسان سایبری : تونل‌های ویژوال استودیو کد !

0 دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *