A Operação
Um grupo de espionagem cibernética China-nexus, suspeito de orquestrar ataques a grandes provedores de serviços de TI B2B no sul da Europa, lançou uma campanha com o codinome Operação Digital Eye.
Essas intrusões ocorreram do final de junho a meados de julho de 2024, conforme as empresas de segurança cibernética SentinelOne, SentinelLabs e Tinexta Cyber explicaram em um relatório conjunto compartilhado com The Hacker News. As empresas detectaram e neutralizaram as atividades antes que os adversários pudessem progredir para a fase de exfiltração de dados.
“Essas intrusões permitiram que os adversários estabelecessem posições estratégicas e comprometessem entidades downstream”, disseram os pesquisadores de segurança Aleksandar Milenkoski e Luigi Martire.
Os pesquisadores revelaram que os atores da ameaça Abusaram da Infraestrutura do Visual Studio Code e do Microsoft Azure para fins de Comando e Controle (C2), usando táticas que fizeram suas Atividades Maliciosas parecerem legítimas e Difíceis de Detectar.
Embora os investigadores não tenham identificado o grupo de hackers específico vinculado à China responsável pelos ataques, eles notaram que o amplo compartilhamento de ferramentas e infraestrutura entre os agentes de ameaças do Leste Asiático complica a atribuição.
Por que Túneis Remotos?
Os Túneis Remotos do Microsoft Visual Studio Code desempenham um papel central na Operação Digital Eye, pois os invasores transformaram esse recurso legítimo em uma arma para permitir acesso remoto a endpoints. Essa tática permitiu que eles executassem comandos arbitrários e manipulassem arquivos.
Ao confiar na infraestrutura de nuvem pública, os hackers apoiados pelo governo garantem que suas Atividades se Misturem Perfeitamente ao tráfego de rede típico. Além disso, eles exploram executáveis legítimos que os Controles de Aplicativos e as regras de Firewall Normalmente não Bloqueiam.
As cadeias de ataque observadas pelas empresas envolvem injeção de SQL como o vetor de acesso inicial, que viola Aplicativos Voltados para a Internet e Servidores de banco de dados. Para conseguir isso, os invasores usaram SQLmap, uma Ferramenta Legítima de teste de Penetração que Automatiza a Detecção e Exploração de falhas de injeção de SQL.
Uma vez lá dentro, os Invasores Implantaram o PHPsert, um shell da web baseado em PHP, para manter uma posição e Estabelecer acesso remoto Persistente. Eles então Realizaram Reconhecimento, Coletaram Credenciais e Moveram-se Lateralmente pelos Sistemas usando Técnicas de Protocolo de Área de Trabalho Remota (RDP) e pass-the-hash.
Para ataques de pass-the-hash, os Pesquisadores Confirmaram que os Adversários Empregaram uma versão Modificada Personalizada do Mimikatz. Esta Ferramenta permite que eles Executem Processos dentro do Contexto de Segurança de um usuário, Aproveitando um hash de senha NTLM Comprometido, Efetivamente Ignorando a Necessidade da senha real do usuário.
Sobreposições Substanciais no código-fonte indicam Fortemente que a Ferramenta sob medida se origina da mesma fonte que aquelas usadas em Suspeitas de Atividades de Espionagem Cibernética chinesa, Incluindo Operação Soft Cell e Operação Tainted Love.
Mimikatz
Pesquisadores se referem Coletivamente a essas Modificações Personalizadas do Mimikatz como mimCN, Observando Certificados de Assinatura de código Compartilhados e Recursos Exclusivos como Mensagens de erro Personalizadas e Técnicas de Ofuscação.
“A evolução e o versionamento de longo prazo de amostras mimCN, combinados com recursos como instruções destinadas a uma equipe separada de operadores, apontam para o envolvimento de um fornecedor compartilhado ou intendente digital ativamente mantendo e provisionando essas ferramentas”, declararam os pesquisadores.
Eles Acrescentaram que essa função dentro do Ecossistema APT chinês, Corroborada ainda mais pelo Vazamento do I-Soon, Provavelmente serve como um Componente crítico no suporte às Operações de Espionagem Cibernética China-nexus.
Notavelmente, os Invasores Confiaram em SSH e Túneis Remotos do Visual Studio Code para Execução remota de Comandos. Eles Autenticados e Conectados aos túneis usando contas do GitHub, Permitindo acesso a pontos de Extremidade Comprometidos por meio da versão baseada em Navegador do Visual Studio Code (“vscode[.]dev”).
No entanto, ainda não está claro se os agentes da ameaça usaram contas Recém-Registradas ou já Comprometidas do GitHub para Autenticação.
Além do mimCN, Evidências Adicionais apontam para o Envolvimento chinês. Isso inclui a Presença de Comentários em chinês Simplificado no PHPsert, o uso de Infraestrutura do Provedor de Hospedagem romeno M247 e a Implantação do Visual Studio Code como um Backdoor — uma tática Anteriormente Vinculada ao ator Mustang Panda.
A Investigação também revelou que os Operadores eram mais ativos nas redes das Organizações visadas durante o horário de Trabalho padrão na China, Principalmente entre 9h e 21h CST.
“A campanha destaca a natureza estratégica dessa ameaça”, explicaram os pesquisadores. “Ao mirar em organizações que fornecem dados, infraestrutura e soluções de segurança cibernética para outros setores, os invasores ganham uma posição na cadeia de suprimentos digital, estendendo seu alcance para entidades downstream.”
O abuso de túneis remotos do Visual Studio Code nesta Campanha Exemplifica como os grupos APT Chineses adotam táticas Práticas e Orientadas a Soluções para evitar a Detecção. Ao Alavancar uma Ferramenta de Desenvolvimento e Infraestrutura Confiáveis, os agentes da ameaça Disfarçaram suas Atividades Maliciosas como Operações Legítimas.
Fonte: TheHackerNews
