Visual Studio Code utilizado para ciberespionaje en el sudeste asiático
El grupo de ciberdelincuentes Mustang Panda, vinculado a China, ha sido observado explotando el editor de texto Visual Studio Code como parte de operaciones de espionaje a entidades gubernamentales en el sudeste asiático.
Según Tom Fakterman, investigador de la Unidad 42 de Palo Alto Networks, el actor malicioso emplea una «técnica relativamente nueva» que aprovecha la extensión «Remote – Tunnels» para crear un shell inverso e infiltrarse en la red de destino. La técnica ha sido demostrada por primera vez en septiembre de 2023 por Truvis Thornton.
El ataque puede realizarse tanto desde una versión instalada como portable de Visual Studio Code. Al ejecutar el comando code.exe tunnel, el atacante recibe un enlace que le requiere iniciar sesión en GitHub con su propia cuenta. Una vez hecho esto, el atacante es redirigido a un entorno web del editor de texto que está conectado a la máquina infectada, lo que le permitiría ejecutar comandos en dicha máquina.
Mustang Panda utilizó este mecanismo para enviar malware, realizar tareas de reconocimiento y exfiltrar datos sensibles y, además, podría haber usado OpenSSH para ejecutar comandos, transferir archivos y propagarse por la red.
Es más, un análisis más detallado del entorno de la infección revela una segunda línea de ataque «simultánea y a veces incluso en los mismos endpoints» con el backdoor ShadowPad, ampliamente compartido por grupos de espionaje chinos.
Se sospecha que estas acciones son la continuación de un ataque anteriormente documentado contra una entidad gubernamental del sudeste asiático no identificada a finales de septiembre de 2023.
Mustang Panda, también conocido como BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta y Red Lich, ha estado en funcionamiento desde 2012, llevando a cabo habitualmente campañas de ciberespionaje dirigidas contra entidades gubernamentales y religiosas de Europa y Asia, en particular en países del Mar de China Meridional.
Más información:
- Chinese Hackers Exploit Visual Studio Code in Southeast Asian Cyberattacks https://thehackernews.com/2024/09/chinese-hackers-exploit-visual-studio.html
- Visual Studio Code: embedded reverse shell and how to block, create Sentinel Detection, and add Environment Prevention — well more like ideas and concepts to prevent abuse and exploit https://medium.com/@truvis.thornton/visual-studio-code-embedded-reverse-shell-and-how-to-block-create-sentinel-detection-and-add-e864ebafaf6d
- Developing with Remote Tunnels
https://code.visualstudio.com/docs/remote/tunnels
La entrada Visual Studio Code utilizado para ciberespionaje en el sudeste asiático se publicó primero en Una Al Día.
Powered by WPeMatico
