Nhà nghiên cứu Tom Fakterman thuộc nhóm tư vấn tình báo về mối đe dọa và bảo mật của Palo Alto Networks (Unit 42) cho biết: "Kẻ đe dọa này đã sử dụng tính năng reverse shell nhúng trong Visual Studio Code để xâm nhập vào mạng mục tiêu". Chiến dịch này được đánh giá là sự tiếp nối của hoạt động tấn công được ghi nhận trước đó nhằm vào một tổ chức chính phủ Đông Nam Á giấu tên vào cuối tháng 9/2023.
Mustang Panda hay còn được gọi bằng tên BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta và Red Lich. Nhóm đã hoạt động từ năm 2012, thường xuyên tiến hành các chiến dịch gián điệp mạng nhắm vào các tổ chức chính phủ và tôn giáo trên khắp châu Âu và châu Á, đặc biệt là những tổ chức ở các quốc gia có lãnh thổ trên Biển Đông.
Chuỗi tấn công mới nhất được quan sát cho thấy tin tặc đang lạm dụng shell ngược của Visual Studio Code để thực thi mã tùy ý và phân phối các tệp độc hại.
Fakterman lưu ý: "Để lạm dụng Visual Studio Code cho mục đích xấu, kẻ tấn công có thể sử dụng phiên bản di động của code.exe (tệp thực thi cho Visual Studio Code) hoặc phiên bản phần mềm đã cài đặt. Bằng cách chạy lệnh code.exe tunnel, kẻ tấn công nhận được liên kết yêu cầu đăng nhập vào GitHub bằng tài khoản của riêng hắn. Khi bước này hoàn tất, kẻ tấn công sẽ được chuyển hướng đến môi trường web Visual Studio Code được kết nối với máy bị nhiễm, cho phép chạy lệnh hoặc tạo tệp mới”.
Cơ chế tấn công được tin tặc Mustang Panda sử dụng
Điều đáng chú ý là việc sử dụng kỹ thuật này với mục đích xấu trước đây đã được công ty an ninh mạng Hà Lan Mnemonic nhắc đến liên quan đến việc khai thác lỗ hổng zero-day trong các sản phẩm cổng bảo mật mạng của Check Point (CVE-2024-24919, điểm CVSS: 8,6) vào đầu năm nay.
Unit 42 cho biết tin tặc Mustang Panda đã tận dụng cơ chế này để phân phối phần mềm độc hại, thực hiện trinh sát và đánh cắp dữ liệu nhạy cảm. Hơn nữa, kẻ tấn công được cho là đã sử dụng OpenSSH để thực thi lệnh, chuyển tệp và phát tán trên mạng.
Không chỉ vậy, một phân tích sâu hơn đã tiết lộ một nhóm hoạt động thứ hai xảy ra đồng thời và đôi khi trên cùng một điểm cuối sử dụng phần mềm độc hại ShadowPad, một cửa hậu mô-đun được nhiều nhóm gián điệp Trung Quốc chia sẻ rộng rãi.
Hiện tại vẫn chưa rõ liệu hai nhóm xâm nhập này có liên quan đến nhau hay không.
Fakterman cho biết: "Dựa trên bằng chứng pháp y và mốc thời gian, ta có thể kết luận rằng hai cụm này bắt nguồn từ cùng một tác nhân đe dọa (Stately Taurus). Tuy nhiên, có thể có những lời giải thích khác để thể giải thích cho mối liên hệ này, chẳng hạn như nỗ lực hợp tác giữa hai tác nhân đe dọa APT của Trung Quốc".
Trường An
(Theo thehackernews)
09:00 | 06/03/2024
22:00 | 25/01/2025
10:00 | 18/07/2024
10:00 | 04/10/2024
14:00 | 05/09/2024
12:00 | 14/01/2025
Trong thời đại kỹ thuật số, dữ liệu và thông tin cá nhân được xem như nguồn tài nguyên vô cùng quan trọng, đó là lý do tin tặc luôn tìm cách đánh cắp dữ liệu người dùng. Theo một báo cáo của công ty an ninh mạng CloudSEK (Ấn Độ), tin tặc đã đánh cắp lượng dữ liệu người dùng khổng lồ trong năm 2024.
13:00 | 03/01/2025
Ít nhất 5 tiện ích mở rộng của Chrome đã bị xâm phạm trong một cuộc tấn công mạng tinh vi, trong đó kẻ tấn công đã chèn mã đánh cắp thông tin nhạy cảm của người dùng.
08:00 | 15/11/2024
Hơn 30 lỗ hổng bảo mật đã được tiết lộ trong nhiều mô hình trí tuệ nhân tạo (AI) và máy học (ML) nguồn mở khác nhau. Đáng lưu ý, một số trong đó có thể dẫn đến thực thi mã từ xa và đánh cắp thông tin.
10:00 | 18/10/2024
GitLab đã phát hành bản cập nhật bảo mật cho Community Edition (CE) và Enterprise Edition (EE) để giải quyết 08 lỗ hổng bảo mật, bao gồm một lỗ hổng nghiêm trọng có thể cho phép thực thi các CI/CD Pipeline tùy ý.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Các nhà nghiên cứu an ninh mạng đã phát hiện một chiến dịch tấn công mới nhắm vào các thiết bị tường lửa Fortinet FortiGate có giao diện quản lý công khai trên Internet.
14:00 | 04/02/2025
