Исследователи из Cyble Research and Intelligence Labs (CRIL) обнаружили сложную кибератаку, использующую возможности Visual Studio (VS) Code по созданию удаленных туннелей для проникновения в системы жертв.
Атака начинается с файла .LNK, который может быть доставлен через фишинговые письма и замаскирован под легитимный установочный файл. При выполнении этот файл загружает пакет Python и запускает вредоносный скрипт Python. Злоумышленник использует функцию VSCode «Удаленные туннели» для создания несанкционированного доступа к машине жертвы. Этот метод позволяет злоумышленнику взаимодействовать с системой, получать доступ к файлам и выполнять команды удаленно. Для сохранения устойчивости создается запланированная задача, запускающая вредоносный Python-скрипт с повышенными привилегиями.
Эта атака повторяет тактику, используемую китайской APT-группой Stately Taurus в кампаниях кибершпионажа, направленных на Европу и Азию. Используя эти надежные инструменты и методы, злоумышленники могут обойти стандартные меры обнаружения, что делает атаку более сложной для обнаружения. После получения доступа происходит утечка конфиденциальной информации, которая используется для дальнейшей эксплуатации взломанной системы.
Indicators of Compromise
URLs
- http://requestrepo.com/r/2yxp98b3
- https://paste.ee/r/DQjrd/0
SHA256
- 281766109f2375a01bad80478fd18841eccaefc1ee9277179cc7ff075d1beae2
- c7f07bdfb91653f53782885a3685436e2e965e1c5f4863c03f5a9825c0364489
