هکرهای چینی با استفاده از Visual Studio Code به شرکتهای فناوری اطلاعات حمله میکنند! در عملیاتی با نام رمز “چشم دیجیتال”، مهاجمان از تونلهای ویژوال استودیو کد برای کنترل و فرماندهی سیستمهای قربانیان استفاده کردهاند. این حملات که شرکتهای ارائهدهنده خدمات فناوری اطلاعات در جنوب اروپا را هدف قرار دادهاند، خوشبختانه قبل از سرقت اطلاعات خنثی شدهاند. ️
جاسوسان سایبری
به گزارش زوم تک از هکر نیوز، یک گروه جاسوسان سایبری مظنون به ارتباط با چین، در عملیاتی با نام رمز “چشم دیجیتال”، به ارائهدهندگان خدمات فناوری اطلاعات در جنوب اروپا حمله کرده است. این حملات که از اواخر ژوئن تا اواسط جولای ۲۰۲۴ رخ دادهاند، شرکتهای امنیت سایبری SentinelOne SentinelLabs و Tinexta Cyber را هدف قرار دادهاند.
خوشبختانه، این فعالیتهای مخرب قبل از اینکه به مرحله سرقت اطلاعات برسند، شناسایی و خنثی شدهاند. محققان امنیتی میگویند: “این نفوذها میتوانست به مهاجمان اجازه دهد تا جای پای استراتژیک در شبکه قربانیان ایجاد کرده و به نهادهای پاییندستی نیز آسیب برسانند.” نکته قابل توجه این است که مهاجمان از Visual Studio Code و زیرساخت Microsoft Azure برای کنترل و فرماندهی استفاده کردهاند تا فعالیتهای مخرب خود را قانونی جلوه دهند و از شناسایی شدن فرار کنند.
تونلهای ویژوال استودیو کد، ابزاری برای جاسوسی
در عملیات چشم دیجیتال، مهاجمان از تونلهای Visual Studio Code برای کنترل و فرماندهی استفاده کردهاند. این ویژگی که به طور معمول برای دسترسی از راه دور به سیستمها استفاده میشود، به مهاجمان این امکان را میدهد تا دستورات دلخواه را اجرا کرده و فایلها را دستکاری کنند. استفاده از زیرساختهای ابری عمومی مانند GitHub به مهاجمان کمک میکند تا فعالیتهای خود را در میان ترافیک عادی شبکه پنهان کنند.
زنجیره حمله
مراحل حمله مشاهده شده توسط شرکتهای امنیتی شامل موارد زیر است:
نفوذ اولیه: استفاده از تزریق SQL به عنوان روش نفوذ اولیه برای نقض برنامههای تحت وب و سرورهای پایگاه داده.
استقرار وبشل: پس از نفوذ موفقیتآمیز، یک وبشل مبتنی بر PHP به نام PHPsert مستقر میشود که به مهاجمان امکان میدهد تا به سیستم دسترسی داشته باشند.
شناسایی و جمعآوری اطلاعات: جمعآوری اطلاعات در مورد شبکه و سیستمهای قربانی.
حرکت جانبی: استفاده از پروتکل RDP و تکنیکهای pass-the-hash برای دسترسی به سایر سیستمها در شبکه.
ابزارهای سفارشی: استفاده از نسخه اصلاح شده Mimikatz برای اجرای فرآیندها با استفاده از هش رمز عبور NTLM و دور زدن نیاز به رمز عبور واقعی کاربر.
ردپای چین
شواهد زیادی نشان میدهد که این حمله به چین مرتبط است، از جمله:
وجود نظرات به زبان چینی ساده در PHPsert
استفاده از زیرساخت ارائه شده توسط ارائهدهنده خدمات میزبانی رومانیایی M247
استفاده از Visual Studio Code به عنوان درب پشتی
فعالیت مهاجمان در طول ساعات کاری معمول در چین
اهداف استراتژیک
هدف این حملات، نفوذ به سازمانهایی است که دادهها، زیرساختها و راه حلهای امنیت سایبری را برای سایر صنایع فراهم میکنند. این امر به مهاجمان امکان میدهد تا به زنجیره تامین دیجیتال دسترسی پیدا کرده و دامنه نفوذ خود را گسترش دهند.
نتیجهگیری
این عملیات نشان میدهد که گروههای APT چینی اغلب از رویکردهای عملی برای فرار از شناسایی استفاده میکنند. با بهرهگیری از ابزارها و زیرساختهای قابل اعتماد، مهاجمان قصد دارند فعالیتهای مخرب خود را به عنوان فعالیتهای قانونی پنهان کنند.
نظرات در مورد : سلاح جدید جاسوسان سایبری : تونلهای ویژوال استودیو کد !