Des pirates chinois ciblant de grands fournisseurs de services informatiques en Europe du Sud ont été vus abuser des tunnels Visual Studio Code (VSCode) pour maintenir un accès distant persistant aux systèmes compromis.
Les tunnels VSCode font partie de la fonctionnalité de développement à distance de Microsoft, qui permet aux développeurs d’accéder et de travailler en toute sécurité sur des systèmes distants via Visual Studio Code. Les développeurs peuvent également exécuter des commandes et accéder au système de fichiers des périphériques distants, ce qui en fait un outil de développement puissant.
Les tunnels sont établis à l’aide de l’infrastructure Microsoft Azure, avec des exécutables signés par Microsoft, offrant un accès fiable.
Cette tactique rare consistant à abuser d’un système Microsoft légitime pour maintenir un accès persistant par porte dérobée aux systèmes a été observée par SentinelLabs et Tinexta Cyber, qui ont baptisé la campagne « Operation Digital Eye », qui a eu lieu entre juin et juillet 2024.
Les chercheurs ont détecté et bloqué les activités à leurs débuts, mais ont partagé les détails dans un rapport publié aujourd’hui pour sensibiliser à cette nouvelle tactique APPROPRIÉE.
Les preuves indiquent faiblement STORM-0866 ou Sandman APT, mais l’acteur de menace exact responsable de cette opération de trois semaines reste inconnu.
« Le groupe exact derrière l’opération Digital Eye reste incertain en raison du partage important de logiciels malveillants, de manuels opérationnels et de processus de gestion de l’infrastructure dans le paysage des menaces chinois », explique SentinelLabs.
Porte dérobée Visual Studio Code
Les pirates ont obtenu un accès initial aux systèmes cibles à l’aide de l’outil automatisé d’exploitation par injection SQL « sqlmap » contre des serveurs Web et de base de données orientés Internet.
Une fois l’accès établi, ils ont déployé un shell Web basé sur PHP appelé PHPsert, qui leur permettait d’exécuter des commandes à distance ou d’introduire des charges utiles supplémentaires.
Pour les mouvements latéraux, les attaquants ont utilisé des attaques RDP et pass-the-hash, en particulier une version personnalisée de Mimikatz (‘bK2o.exe »).
Sur les appareils piratés, les pirates ont déployé une version portable et légitime de Visual Studio Code (‘code.exe’) et a utilisé l’outil’ winsw ‘ pour le définir comme un service Windows persistant.
Ensuite, ils ont configuré VSCode avec le paramètre tunnel, lui permettant de créer un tunnel de développement d’accès à distance sur la machine.
Cela a permis aux auteurs de la menace de se connecter à distance à l’appareil piraté via une interface Web (navigateur), en s’authentifiant avec un compte GitHub ou Microsoft.
Étant donné que le trafic vers les tunnels VSCode est acheminé via Microsoft Azure et que tous les exécutables impliqués sont signés, il n’y a rien dans le processus pour déclencher des alarmes par les outils de sécurité.
Les auteurs de la menace ont utilisé leur porte dérobée VSCode pour se connecter aux machines piratées pendant les jours ouvrables, montrant une activité élevée pendant les heures normales de travail en Chine.
Sentinel Labs affirme que l’utilisation de tunnels VSCode n’est pas sans précédent, car il y a eu quelques rapports depuis 2023, cependant, cela reste une tactique rarement vue.
En septembre 2024, l’Unité 42 a publié un rapport sur le groupe APT chinois « Stately Taurus » abusant de VSCode dans des opérations d’espionnage ciblant des organisations gouvernementales en Asie du Sud-Est. Cependant, Sentinel Labs affirme que les deux opérations ne semblent pas liées.
Comme la technique pourrait gagner du terrain, il est conseillé aux défenseurs de surveiller les lancements suspects de VSCode, de limiter l’utilisation des tunnels distants au personnel autorisé et d’utiliser la liste d’autorisation pour bloquer l’exécution de fichiers portables comme le code.exé.
Enfin, il est conseillé d’inspecter les services Windows pour la présence de code.exe, ‘ et recherchez des connexions sortantes inattendues vers des domaines comme *.devtunnels.ms dans les journaux réseau.