VietNetwork.Vn

Nhóm tin tặc tấn công dai dẳng (APT) có liên quan đến Trung Quốc, được biết đến với tên gọi Mustang Panda, đã bị phát hiện sử dụng phần mềm Visual Studio Code như một phần của hoạt động gián điệp nhắm vào các thực thể chính phủ ở Đông Nam Á.

"Kẻ đe dọa này đã sử dụng tính năng reverse shell nhúng trong Visual Studio Code để xâm nhập vào mạng mục tiêu", nhà nghiên cứu Tom Fakterman của Palo Alto Networks Unit 42 cho biết trong một báo cáo, đồng thời mô tả đây là "kỹ thuật tương đối mới" được Truvis Thornton trình diễn lần đầu tiên vào tháng 9 năm 2023.


Chiến dịch này được đánh giá là sự tiếp nối của hoạt động tấn công được ghi nhận trước đó nhằm vào một tổ chức chính phủ Đông Nam Á giấu tên vào cuối tháng 9 năm 2023.

Mustang Panda, còn được gọi bằng tên BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta và Red Lich, đã hoạt động từ năm 2012, thường xuyên tiến hành các chiến dịch gián điệp mạng nhắm vào các tổ chức chính phủ và tôn giáo trên khắp châu Âu và châu Á, đặc biệt là những tổ chức ở các quốc gia Biển Đông.

Chuỗi tấn công mới nhất được quan sát đáng chú ý vì nó lạm dụng shell ngược của Visual Studio Code để thực thi mã tùy ý và phân phối các tải trọng bổ sung.

"Để lạm dụng Visual Studio Code cho mục đích xấu, kẻ tấn công có thể sử dụng phiên bản di động của code.exe (tệp thực thi cho Visual Studio Code) hoặc phiên bản phần mềm đã cài đặt", Fakterman lưu ý. "Bằng cách chạy lệnh code.exe tunnel, kẻ tấn công nhận được liên kết yêu cầu họ đăng nhập vào GitHub bằng tài khoản của riêng họ".


Khi bước này hoàn tất, kẻ tấn công sẽ được chuyển hướng đến môi trường web Visual Studio Code được kết nối với máy bị nhiễm, cho phép chúng chạy lệnh hoặc tạo tệp mới.

Điều đáng chú ý là việc sử dụng kỹ thuật này với mục đích xấu trước đây đã được công ty an ninh mạng Hà Lan Mnemonic nêu bật liên quan đến việc khai thác lỗ hổng zero-day trong các sản phẩm cổng bảo mật mạng của Check Point (CVE-2024-24919, điểm CVSS: 8,6) vào đầu năm nay.

Đơn vị 42 cho biết tác nhân Mustang Panda đã tận dụng cơ chế này để phân phối phần mềm độc hại, thực hiện trinh sát và đánh cắp dữ liệu nhạy cảm. Hơn nữa, kẻ tấn công được cho là đã sử dụng OpenSSH để thực thi lệnh, chuyển tệp và phát tán trên mạng.

Không chỉ có vậy. Một phân tích sâu hơn về môi trường bị nhiễm đã tiết lộ một nhóm hoạt động thứ hai "xảy ra đồng thời và đôi khi thậm chí trên cùng một điểm cuối" sử dụng phần mềm độc hại ShadowPad, một cửa hậu mô-đun được nhiều nhóm gián điệp Trung Quốc chia sẻ rộng rãi.

Hiện tại vẫn chưa rõ liệu hai nhóm xâm nhập này có liên quan đến nhau hay không, hoặc liệu hai nhóm khác nhau có "ăn theo quyền truy cập của nhau" hay không.

"Dựa trên bằng chứng pháp y và mốc thời gian, người ta có thể kết luận rằng hai cụm này bắt nguồn từ cùng một tác nhân đe dọa (Stately Taurus)", Fakterman cho biết. "Tuy nhiên, có thể có những lời giải thích khác có thể giải thích cho mối liên hệ này, chẳng hạn như nỗ lực hợp tác giữa hai tác nhân đe dọa APT của Trung Quốc".