TTL OSINT
УПРАВЛЯЙТЕ РИСКАМИ — НЕ ЖДИТЕ АТАК
Пентест для устойчивости и соответствия требованиям
Реалистичная проверка внешнего периметра: выявляем уязвимости до злоумышленников и подтверждаем готовность вашего бизнеса к киберугрозам.
ПротестироватьКитайский APT злоупотребляет VSCode, чтобы атаковать правительство в Азии
Исследователи подразделения 42 обнаружили китайскую группу advanced persistent threat (APT), получившую название Stately Taurus, использующую встроенную функцию обратной оболочки Visual Studio Code для атаки на правительственные учреждения в Юго-Восточной Азии. Это новый метод, как описал его исследователь безопасности Трэвис Торнтон в публикации Medium в сентябре 2023 года, но это первый случай, когда он был замечен в дикой природе. Злоумышленники используют портативную версию code.exe или уже установленную версию программного обеспечения для запуска команды code.exe tunnel, которая создает ссылку, требующую от пользователя входа на GitHub под своей учетной записью. После входа в систему злоумышленник перенаправляется в веб-среду Visual Studio Code, подключенную к зараженному компьютеру, что позволяет ему выполнять команды и сценарии и создавать новые файлы на зараженном компьютере. Злоумышленники использовали этот метод для доставки вредоносного ПО, проведения разведки и извлечения конфиденциальных данных. Чтобы поддерживать постоянный доступ к reverse shell, злоумышленник создал персистентность для скрипта с именем start code. но с использованием запланированной задачи. Кампания приписывается Stately Taurus из-за нескольких факторов, включая использование бэкдора Tone Shell и уникального пароля, используемого для защиты архивов RAR. Кроме того, исследователи обнаружили связь между активностью Stately Taurus и второй группой активности в той же целевой среде, которая использовала бэкдор ShadowPad.
Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, позволяющего ускорить интеграцию статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.
Ссылка:https://unit42.paloaltonetworks.com/stately-taurus-abuses-vscode-southeast-asian-espionage/
Выборочные показатели Compromise:
- aa2c0de121ae738ce44727456d97434faff21fc69219e964e1e2d2f1ca16b1c5
- acedfe9c662c2666787cbbf8d3a0225863bab2c239777594b003381244ed81ba
- 8fdac78183ff18de0c07b10e8d787326691d7fb1f63b3383471312b74918c39f
- 440e7bce4760b367b46754a70f480941a38cd6cd4c00c56bbaeb80b9c149afb1
- 965dd0b255f05ff012d2f152e973e09ceb9e95b6239dc820c8ac4d4492255472
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.
CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал
