هجوم صيني خفي: استغلال ثغرات Visual Studio يستهدف جنوب شرق آسيا
موستانج باندا، المعروفة أيضًا بأسماء BASIN، وBronze President، وCamaro Dragon، وEarth Preta، وHoneyMyte، وRedDelta، وRed Lich، تعمل منذ عام 2012، وتقوم بشكل روتيني بحملات تجسس إلكترونية تستهدف الكيانات الحكومية والدينية في جميع أنحاء أوروبا وآسيا، لا سيما تلك الكيانات
متابعات- ميكسي نيوز
مجموعة التهديد المستمر المتقدم (APT) المرتبطة بالصين والمعروفة باسم موستانج باندا تمت ملاحظة استخدام برنامج Visual Studio Code كسلاح كجزء من عمليات التجسس التي تستهدف الكيانات الحكومية في جنوب شرق آسيا.
“استخدم ممثل التهديد هذا ميزة الصدفة العكسية المضمنة في Visual Studio Code للحصول على موطئ قدم في الشبكات المستهدفة،” توم فاكترمان، الباحث في وحدة Palo Alto Networks Unit 42 قال في تقرير، واصفًا إياها بأنها “تقنية جديدة نسبيًا”أظهر لأول مرة في سبتمبر 2023 بواسطة تروفيس ثورنتون.
تم تقييم الحملة على أنها استمرار لنشاط هجوم موثق مسبقًا استهدف كيانًا حكوميًا في جنوب شرق آسيا لم يذكر اسمه في أواخر سبتمبر 2023.
موستانج باندا، المعروفة أيضًا بأسماء BASIN، وBronze President، وCamaro Dragon، وEarth Preta، وHoneyMyte، وRedDelta، وRed Lich، تعمل منذ عام 2012، وتقوم بشكل روتيني بحملات تجسس إلكترونية تستهدف الكيانات الحكومية والدينية في جميع أنحاء أوروبا وآسيا، لا سيما تلك الكيانات. تقع في دول بحر الصين الجنوبي.
يُلاحظ أحدث تسلسل للهجوم الذي تمت ملاحظته بسبب إساءة استخدام الغلاف العكسي لـ Visual Studio Code لتنفيذ تعليمات برمجية عشوائية وتسليم حمولات إضافية.
وأشار فاكترمان إلى أنه “لإساءة استخدام Visual Studio Code لأغراض ضارة، يمكن للمهاجم استخدام الإصدار المحمول من code.exe (الملف القابل للتنفيذ لـ Visual Studio Code)، أو إصدار مثبت بالفعل من البرنامج”. “من خلال تشغيل نفق الأمر code.exe، يتلقى المهاجم رابطًا يتطلب منه تسجيل الدخول إلى GitHub باستخدام حسابه الخاص.”
بمجرد اكتمال هذه الخطوة، تتم إعادة توجيه المهاجم إلى بيئة ويب Visual Studio Code المتصلة بالجهاز المصاب، مما يسمح له بتشغيل الأوامر أو إنشاء ملفات جديدة.
تجدر الإشارة إلى أن الاستخدام الضار لهذه التقنية قد تم تسليط الضوء عليه سابقًا من قبل شركة الأمن السيبراني الهولندية mnemonic فيما يتعلق بالاستغلال الفوري لثغرة أمنية. ثغرة أمنية تم تصحيحها الآن في منتجات بوابة أمن الشبكات الخاصة بشركة Check Point (CVE-2024-24919، درجة CVSS: 8.6) في وقت سابق من هذا العام.
وقالت الوحدة 42 إن ممثل موستانج باندا استفاد من الآلية لتوصيل البرامج الضارة، وإجراء الاستطلاع، وتصفية البيانات الحساسة. علاوة على ذلك، يقال إن المهاجم استخدم OpenSSH لتنفيذ الأوامر ونقل الملفات والانتشار عبر الشبكة.
هذا ليس كل شيء. كشف التحليل الدقيق للبيئة المصابة عن مجموعة ثانية من الأنشطة “التي تحدث في وقت واحد وفي بعض الأحيان حتى على نفس نقاط النهاية” التي استخدمت برنامج ShadowPad الضار، وهو باب خلفي معياري مشترك على نطاق واسع بين مجموعات التجسس الصينية.
من غير الواضح حاليًا ما إذا كانت مجموعتي التطفل هاتين مرتبطتين ببعضهما البعض، أو ما إذا كانت مجموعتان مختلفتان “تعتمدان على وصول بعضهما البعض”.
وقال فاكترمان: “استناداً إلى أدلة الطب الشرعي والجدول الزمني، يمكن للمرء أن يستنتج أن هاتين المجموعتين نشأتا من نفس جهة التهديد (Stately Taurus)”. “ومع ذلك، قد تكون هناك تفسيرات محتملة أخرى يمكن أن تفسر هذا الارتباط، مثل الجهد التعاوني بين اثنين من الجهات الفاعلة الصينية في تهديد التهديدات المتقدمة المستمرة.”
