Nhóm mối đe dọa dai dẳng tiên tiến (APT) liên kết với Trung Quốc được gọi là Mustang Panda đã được quan sát thấy vũ khí hóa phần mềm Visual Studio Code như một phần của hoạt động gián điệp nhắm vào các thực thể chính phủ ở Đông Nam Á.
"Tác nhân đe dọa này đã sử dụng tính năng vỏ ngược nhúng của Visual Studio Code để có chỗ đứng trong các mạng mục tiêu", nhà nghiên cứu Tom Fakterman của Palo Alto Networks Unit 42 cho biết trong một báo cáo, mô tả đây là một "kỹ thuật tương đối mới" lần đầu tiên được Truvis Thornton trình diễn vào tháng 9/2023.
Chiến dịch này được đánh giá là sự tiếp nối của một hoạt động tấn công được ghi nhận trước đó nhằm vào một thực thể chính phủ Đông Nam Á giấu tên vào cuối tháng 9/2023.
Mustang Panda, còn được biết đến với tên BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta và Red Lich, đã hoạt động từ năm 2012, thường xuyên tiến hành các chiến dịch gián điệp mạng nhắm vào các tổ chức chính phủ và tôn giáo trên khắp châu Âu và châu Á, đặc biệt là những người ở các quốc gia Biển Đông.
Trình tự tấn công mới nhất được quan sát thấy đáng chú ý vì lạm dụng trình bao ngược của Visual Studio Code để thực thi mã tùy ý và cung cấp tải trọng bổ sung.
"Để lạm dụng Visual Studio Code cho mục đích xấu, kẻ tấn công có thể sử dụng phiên bản di động của code.exe (tệp thực thi cho Visual Studio Code) hoặc phiên bản phần mềm đã được cài đặt", Fakterman lưu ý. "Bằng cách chạy lệnh code.exe đường hầm, kẻ tấn công nhận được một liên kết yêu cầu họ đăng nhập vào GitHub bằng tài khoản của chính họ."
Khi bước này hoàn tất, kẻ tấn công được chuyển hướng đến môi trường web Visual Studio Code được kết nối với máy bị nhiễm, cho phép chúng chạy lệnh hoặc tạo tệp mới.
Điều đáng chú ý là việc sử dụng độc hại kỹ thuật này trước đây đã được công ty an ninh mạng Hà Lan ghi nhớ liên quan đến việc khai thác lỗ hổng zero-day hiện đã được vá trong các sản phẩm cổng Network Security của Check Point (CVE-2024-24919, điểm CVSS: 8.6) vào đầu năm nay.
Đơn vị 42 cho biết diễn viên Mustang Panda đã tận dụng cơ chế này để phát tán phần mềm độc hại, thực hiện trinh sát và trích xuất dữ liệu nhạy cảm. Hơn nữa, kẻ tấn công được cho là đã sử dụng OpenSSH để thực hiện các lệnh, truyền tệp và lây lan trên mạng.
Đó không phải là tất cả. Một phân tích sâu hơn về môi trường bị nhiễm đã tiết lộ một cụm hoạt động thứ hai "xảy ra đồng thời và đôi khi ngay cả trên cùng một điểm cuối" sử dụng phần mềm độc hại ShadowPad, một backdoor mô-đun được chia sẻ rộng rãi bởi các nhóm gián điệp Trung Quốc.
Hiện tại vẫn chưa rõ liệu hai nhóm xâm nhập này có liên quan đến nhau hay không, hoặc nếu hai nhóm khác nhau đang "cõng quyền truy cập của nhau".
"Dựa trên bằng chứng pháp y và dòng thời gian, người ta có thể kết luận rằng hai cụm này có nguồn gốc từ cùng một tác nhân đe dọa (Kim Ngưu trang nghiêm)", Fakterman nói. "Tuy nhiên, có thể có những lời giải thích khả dĩ khác có thể giải thích cho mối liên hệ này, chẳng hạn như nỗ lực hợp tác giữa hai tác nhân đe dọa APT của Trung Quốc."