Çin devlet destekli bir casusluk grubu, VS Code’daki bilinen bir açığı kötü amaçlı bir saldırıda silah olarak kullanan ilk belgelenmiş tehdit aktörü oldu.
Görsel Stüdyo Koduveya VS Code, Microsoft’un Windows, Linux ve macOS için ücretsiz kaynak kodu düzenleyicisidir. Stack Overflow’un 86.544 geliştiriciyle yaptığı 2023 anketine göre, hem yeni (%78) hem de profesyonel geliştiriciler (%74) arasında açık ara en popüler entegre geliştirme ortamıdır (IDE). Bir sonraki en popüler IDE olan Visual Studio, katılımcıların %28’i tarafından kullanılmıştır.
Eylül 2023’te bir tehdit araştırmacısı, bir saldırganın bir hedefin ortamına ilk erişimi elde etmek için “Tünel” adlı bir VS Code özelliğinden nasıl yararlanabileceğini açıkladı. Başlangıçta, taktik sadece kırmızı takım için yemdi. Şimdi, Palo Alto Networks’ün 42. Birimine göre, Çin’in Mustang Panda (diğer adıyla Stately Taurus, Bronze President, RedDelta, Luminous Moth, Earth Preta ve Camaro Dragon) bunu bir casusluk saldırısında kullanmıştır. Güneydoğu Asya’daki hükümet kuruluşu.
Dark Reading bu haberle ilgili yorum almak için Microsoft’a ulaştı ancak hemen bir yanıt alamadı.
VS Code’u Ters Kabuğa Dönüştürmek
Truvis Thornton, Unit 42’nin son araştırmasından tam bir yıl önce, “Siber güvenlik uzmanı olarak en büyük korkulardan biri, imzalanmış bir ters kabuk ikili dosyasını tespit etmek ve engellemektir,” diye yazmıştı. “Tahmin edin bakalım? Microsoft bize memnuniyetle bir tane verdi.”
İlk olarak Temmuz 2023’te tanıtılan VS Code Tunnel, kullanıcıların VS Code ortamlarını açık Web’de paylaşmalarına olanak tanıyor ve yalnızca bir GitHub hesabı aracılığıyla kimlik doğrulaması gerektiriyor.
Kurbanının GitHub kimlik bilgilerine sahip bir saldırgan zarar verebilir, ancak daha da kötüsü, hedeflenen bir makineye VS Code’un taşınabilir bir sürümünü uzaktan yükleyebilmektir. Meşru bir imzalı ikili dosya olduğu için, güvenlik yazılımı tarafından şüpheli olarak işaretlenmeyecektir.
Ve yine de, ters bir kabuk gibi yürüyecek ve konuşacaktır. “code.exe tüneli” komutunu çalıştırarak, saldırgan kendi hesabıyla oturum açabileceği bir GitHub kimlik doğrulama sayfası açar. Daha sonra hedeflerinin sistemine bağlı bir VS Code ortamına yönlendirilir ve istedikleri zaman komutları ve betikleri yürütmekte ve yeni dosyalar tanıtmakta özgürdürler.
Asya ve Avrupa’da hükümetlere, sivil toplum örgütlerine (STK) ve dini gruplara karşı casusluk faaliyetleriyle bilinen 12 yıllık gelişmiş kalıcı tehdit (APT) Mustang Panda, hedefine karşı keşif yapmak, kötü amaçlı yazılım bırakmak ve en önemlisi hassas verileri sızdırmak için bu taktik kitabını kullandı.
VSCode ile Nasıl Başa Çıkılır
“VSCode’un kötüye kullanımı endişe verici olsa da, bizim görüşümüze göre, bu bir güvenlik açığı değil,” diyor Unit 42’nin tehdit araştırmaları direktörü Assaf Dahan. Bunun yerine, “Bu, birçok meşru yazılımda sıklıkla olduğu gibi (örneğin lolbins’i ele alalım) tehdit aktörleri tarafından kötüye kullanılan meşru bir özellik.” diyor.
Ve kuruluşların kendi VSCode’unuzu getirin saldırısına karşı korunmalarının birçok yolu vardır. Tehlike göstergelerini (IoC’ler) aramanın yanı sıra, “Kuruluşun, geliştirici olmayan veya bu belirli uygulamanın kullanımını gerektirmeyen çalışanların uç noktalarında VSCode kullanımını sınırlamak veya engellemek isteyip istemediğini düşünmek de önemlidir. Bu, saldırı yüzeyini azaltabilir.” diyor.
“Son olarak, VSCode tünel etki alanlarına erişimi sınırlamayı düşünün ‘.tunnels.api.visualstudio[.]com’ veya ‘.devtunnels[.]”ms’yi geçerli bir iş gereksinimi olan kullanıcılara gönderin. Bu alan adlarının meşru olduğunu ve kötü amaçlı olmadığını unutmayın, ancak bunlara erişimi sınırlamak özelliğin düzgün çalışmasını engelleyecek ve sonuç olarak tehdit aktörleri için daha az çekici hale getirecektir” diye ekliyor.
İkinci, Çakışan Saldırı
Mustang Panda saldırısını araştırırken 42. Birim, aynı hedefin sistemlerini işgal eden ikinci bir tehdit kümesiyle karşılaştı.
Bu durumda saldırgan, QWERTY klavyeye uygun olmayan dillerde metin üretmek için kullanılan Microsoft’un Giriş Yöntemi Düzenleyicisi (IME) ile ilişkili meşru ve imzalı bir dosya olan imecmnt.exe’yi bazı dinamik bağlantı kitaplığı (DLL) yan yüklemeleriyle kötüye kullandı. Bıraktıkları dosya olan ShadowPad, Çinli tehdit aktörleri arasında popüler olan 7 yıllık bir modüler arka kapıdır.
Bu uzlaşma, VS Code istismarıyla aynı anda, genellikle aynı uç noktalarda gerçekleşti ve örtüşmeler burada bitmedi. Yine de araştırmacılar, bu ikinci kötü amaçlı etkinlik kümesinin Mustang Panda’ya atfedilebileceğini kesin olarak söyleyemediler. “Bu bağlantıyı açıklamak için başka olası senaryolar da olabilir,” diye yazdılar. “Örneğin, iki Çinli APT grubu arasında ortak bir çaba olabilir veya belki de birbirlerinin erişimini kullanan iki farklı grup olabilir.”
En son haberleri kaçırmayın Karanlık Okuma Gizli podcastIowa’nın Dallas County bölgesinde kalem testi işlerini yaptıkları için tutuklanan ve geceyi hapishanede geçirmek zorunda kalan iki siber güvenlik uzmanıyla konuşuyoruz. Şimdi dinle!