Исследователи Unit 42 обнаружили, что китайская кибершпионская группа Stately Taurus использовала программное обеспечение Visual Studio Code для своих шпионских операций. Этот злоумышленник использовал функцию обратной оболочки встроенную в Visual Studio Code для защиты в целевых сетях. Это относительно новая техника, которую исследователи безопасности впервые обнаружили в 2023 году. Кроме того, Stately Taurus была связана с другим кластером активности, который использовал бэкдор ShadowPad.
Stately Taurus APT
Исследователи Unit 42 предполагают, что эта кампания является продолжением деятельности Stately Taurus средней и высокой уверенности, адресованной правительственным организациям в Юго-Восточной Азии. Они пришли к этому выводу на основе рассмотрения таких факторов, как ТТП (тактики, техники и процедуры), временные рамки и виктимология.
Методика использования Visual Studio Code вредоносными целями заключается в том, что злоумышленник использует исполняемый файл программы (code.exe) для создания обратной оболочки, которая связывается с взломанным сервером. Затем злоумышленник может выполнять произвольный код и осуществлять разведку и утечку данных.
Stately Taurus использовала эту технику для доставки вредоносного программного обеспечения, проведения разведки и получения конфиденциальных данных. Они также создали постоянный доступ к обратной оболочке через запланированную задачу.
Unit 42 связывает активность Stately Taurus с предыдущей кампанией, где они использовали бэкдор ToneShell. Они обнаружили, что в обеих кампаниях использовался один и тот же уникальный пароль, а также другие подобные признаки. Stately Taurus, также известная как Mustang Panda, BRONZE PRESIDENT, RedDelta, Luminous Moth, Earth Preta и Camaro Dragon, активна по меньшей мере с 2012 года и нацелена на правительственные организации, религиозные и другие неправительственные организации в Европе и Азии.
Indicators of Compromise
IPv4
- 185.132.125.72
- 216.83.40.84
SHA256
- 0f11b6dd8ff972a2f8cb7798b1a0a8cd10afadcea201541c93ef0ab9b141c184
- 39ceb73bcfd1f674a9b72a03476a9de997867353172c2bf6dde981c5b3ad512a
- 3cc5ee93a9ba1fc57389705283b760c8bd61f35e9398bbfa3210e2becf6d4b05
- 440e7bce4760b367b46754a70f480941a38cd6cd4c00c56bbaeb80b9c149afb1
- 456e4dae82a12bcda0506a750eac93bf79cc056b8aad09ec74878c90fd67bd8f
- 506fc87c8c96fef1d2df24b0ba44c8116a9001ca5a7d7e9c01dc3940a664acb0
- 5bfc45f7fce27d05e753a61dde5fab623efff3e4df56fb6a0cf178a0b11909ce
- 8fdac78183ff18de0c07b10e8d787326691d7fb1f63b3383471312b74918c39f
- 965dd0b255f05ff012d2f152e973e09ceb9e95b6239dc820c8ac4d4492255472
- aa2c0de121ae738ce44727456d97434faff21fc69219e964e1e2d2f1ca16b1c5
- ac34e1fb4288f8ad996b821c89b8cd82a61ed02f629b60fff9eb050aaf49fc31
- acedfe9c662c2666787cbbf8d3a0225863bab2c239777594b003381244ed81ba
- bdadcd2842ed7ba8a21df7910a0acc15f8b0ca9d0b91bebb49f09a906ae217e6
- cca63c929f2f59894ea2204408f67fc1bff774bb7164fde7f42d0111df9461bd
- fb0c4db0011ee19742d7d8bd0558d8ee8be2ef23c4c61a3e80a34fba6c96f3ff
