Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Los piratas informáticos utilizan los túneles remotos de Visual Studio Code como armas para el ciberespionaje
  • Tecnología

Los piratas informáticos utilizan los túneles remotos de Visual Studio Code como armas para el ciberespionaje

teknomers 11 de Aralık de 2024 (Last updated: 11 de Aralık de 2024) 5 minutes read
Los piratas informáticos utilizan los túneles remotos de Visual Studio


10 de diciembre de 2024Ravie LakshmananCiberespionaje / Hacking News

Un presunto grupo de ciberespionaje del nexo con China ha sido atribuido a ataques dirigidos a grandes proveedores de servicios de TI de empresa a empresa en el sur de Europa como parte de una campaña con el nombre en código Operación Ojo Digital.

Las intrusiones tuvieron lugar desde finales de junio hasta mediados de julio de 2024, dijeron las empresas de ciberseguridad SentinelOne SentinelLabs y Tinexta Cyber ​​en un informe conjunto compartido con The Hacker News, y agregaron que las actividades fueron detectadas y neutralizadas antes de que pudieran pasar a la fase de exfiltración de datos.

“Las intrusiones podrían haber permitido a los adversarios establecer puntos de apoyo estratégicos y comprometer entidades posteriores”, afirman los investigadores de seguridad Aleksandar Milenkoski y Luigi Martire. dicho.

“Los actores de amenazas abusaron de Visual Studio Code y la infraestructura de Microsoft Azure para C2 [command-and-control] fines, intentando evadir la detección haciendo que las actividades maliciosas parezcan legítimas”.

Actualmente no se sabe qué grupo de hackers vinculado a China está detrás de los ataques, un aspecto complicado por el amplio intercambio de herramientas e infraestructura entre los actores de amenazas alineados con la nación del este de Asia.

Ciberseguridad

Un elemento central de Operation Digital Eye es la utilización de Microsoft Visual Studio Code como arma Túneles remotos para C2, una característica legítima que permite el acceso remoto a puntos finales, otorgando a los atacantes la capacidad de ejecutar comandos arbitrarios y manipular archivos.

Parte de la razón por la que los piratas informáticos respaldados por el gobierno utilizan dicha infraestructura de nube pública es para que su actividad se mezcle con el tráfico típico que ven los defensores de la red. Además, dichas actividades emplean ejecutables legítimos que no están bloqueados por controles de aplicaciones ni reglas de firewall.

Las cadenas de ataque observadas por las empresas implican el uso de inyección SQL como vector de acceso inicial para violar aplicaciones conectadas a Internet y servidores de bases de datos. La inyección de código se logra mediante una herramienta legítima de prueba de penetración llamada SQLmap que automatiza el proceso de detección y explotación de fallas de inyección SQL.

A un ataque exitoso le sigue la implementación de un shell web basado en PHP denominado PHPsert que permite a los actores de amenazas mantener un punto de apoyo y establecer un acceso remoto persistente. Los pasos posteriores incluyen reconocimiento, recolección de credenciales y movimiento lateral a otros sistemas en la red utilizando el Protocolo de escritorio remoto (RDP) y técnicas de paso de hash.

“Para los ataques pass-the-hash, utilizaron una versión modificada personalizada de Mimikatz”, dijeron los investigadores. La herramienta “permite la ejecución de procesos dentro del contexto de seguridad de un usuario aprovechando un hash de contraseña NTLM comprometido, evitando la necesidad de la contraseña real del usuario”.

Túneles remotos de Visual Studio Code

Las superposiciones sustanciales del código fuente sugieren que la herramienta personalizada se origina en la misma fuente que las observadas exclusivamente en actividades sospechosas de ciberespionaje chino, como la Operación Soft Cell y la Operación Amor Contaminado. Estas modificaciones personalizadas de Mimikatz, que también incluyen certificados de firma de código compartido y el uso de mensajes de error personalizados únicos o técnicas de ofuscación, se denominaron colectivamente mimCN.

“La evolución a largo plazo y el control de versiones de las muestras de mimCN, junto con características notables como instrucciones dejadas para un equipo separado de operadores, sugieren la participación de un proveedor compartido o intendente digital responsable del mantenimiento activo y el aprovisionamiento de herramientas”, dijeron los investigadores. señaló.

“Esta función dentro del ecosistema APT chino, corroborada por la filtración de I-Soon, probablemente desempeña un papel clave a la hora de facilitar las operaciones de ciberespionaje del nexo con China”.

También es de destacar la dependencia de SSH y Visual Studio Code Remote Tunnels para la ejecución remota de comandos, y los atacantes utilizan cuentas de GitHub para autenticarse y conectarse al túnel para acceder al punto final comprometido a través de la versión basada en navegador de Visual Studio Code (“vscode[.]desarrollador”).

Dicho esto, no se sabe si los actores de amenazas utilizaron cuentas de GitHub recién registradas o ya comprometidas para autenticarse en los túneles.

Ciberseguridad

Además de mimCN, algunos de los otros aspectos que apuntan a China son la presencia de comentarios en chino simplificado en PHPsert, el uso de la infraestructura proporcionada por el proveedor de servicios de alojamiento rumano M247 y el uso de Visual Studio Code como puerta trasera, el último de los cuales tiene Se ha atribuido al actor Mustang Panda.

Además, la investigación encontró que los operadores estaban activos principalmente en las redes de las organizaciones objetivo durante el horario laboral típico en China, principalmente entre las 9 am y las 9 pm CST.

“La campaña subraya la naturaleza estratégica de esta amenaza, ya que violar organizaciones que proporcionan datos, infraestructura y soluciones de ciberseguridad a otras industrias les da a los atacantes un punto de apoyo en la cadena de suministro digital, permitiéndoles extender su alcance a entidades posteriores”, afirman los investigadores. dicho.

“El abuso de los túneles remotos de Visual Studio Code en esta campaña ilustra cómo los grupos APT chinos a menudo dependen de enfoques prácticos y orientados a soluciones para evadir la detección. Al aprovechar una infraestructura y una herramienta de desarrollo confiable, los actores de amenazas intentaron disfrazar sus actividades maliciosas como legítimas. “.

¿Encontró interesante este artículo? Síguenos en Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Robbie Williams ha visto una película sobre sí mismo diez veces
Next: Zueco de madera único extraído de un pozo negro medieval: "Talla 36"

Related Stories

Seguridad vial: por qué su próximo coche nuevo supervisará obligatoriamente
  • Tecnología

Seguridad vial: por qué su próximo coche nuevo supervisará obligatoriamente su mirada

teknomers 12 de Temmuz de 2026
Prueba del Lymow One Plus: ¿es el mejor robot cortacésped
  • Tecnología

Prueba del Lymow One Plus: ¿es el mejor robot cortacésped para hierbas altas y terrenos difíciles?

teknomers 12 de Temmuz de 2026
Meta frente a la UE: Facebook e Instagram considerados demasiado
  • Tecnología

Meta frente a la UE: Facebook e Instagram considerados demasiado adictivos

teknomers 12 de Temmuz de 2026

You May Have Missed

  • General

“Irán tomó una mala decisión. Ahora lo paga”: Hegseth advierte a Irán en medio de los últimos ataques de EE. UU. – Teknomers

teknomers 12 de Temmuz de 2026
Noruega-Inglaterra: el resumen de la difícil victoria de los ingleses
  • Deporte

Noruega-Inglaterra: el resumen de la difícil victoria de los ingleses con un gran Jude Bellingham

teknomers 12 de Temmuz de 2026
  • Deporte

Copa Mundial 2026: Tuchel critica a la Inglaterra ‘afortunada’ y ‘desordenada’ – ¿será suficiente una ‘mentalidad pura’?

teknomers 12 de Temmuz de 2026
Seguridad vial: por qué su próximo coche nuevo supervisará obligatoriamente
  • Tecnología

Seguridad vial: por qué su próximo coche nuevo supervisará obligatoriamente su mirada

teknomers 12 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.