Cyberangriffe auf IT-Dienstleister in Südeuropa: Visual Studio Code im Visier

MÜNCHEN (IT BOLTWISE) – Eine neue Cyberbedrohung hat IT-Dienstleister in Südeuropa ins Visier genommen. Im Rahmen der Operation Digital Eye wurden Angriffe auf große B2B-IT-Dienstleister verübt, die von einer mutmaßlich China-nahen Gruppe durchgeführt wurden.

In der jüngsten Cyberbedrohungskampagne, die als Operation Digital Eye bekannt ist, haben mutmaßlich China-nahe Hacker IT-Dienstleister in Südeuropa ins Visier genommen. Diese Angriffe, die zwischen Ende Juni und Mitte Juli 2024 stattfanden, wurden von den Sicherheitsunternehmen SentinelOne SentinelLabs und Tinexta Cyber entdeckt und neutralisiert, bevor es zu einer Datenexfiltration kam. Die Angreifer nutzten dabei Visual Studio Code und Microsoft Azure-Infrastrukturen für Command-and-Control-Zwecke, um ihre Aktivitäten als legitim erscheinen zu lassen.

Die Angreifer setzten auf die Nutzung von Visual Studio Code Remote Tunnels, einem legitimen Feature, das Fernzugriff auf Endpunkte ermöglicht. Dies erlaubte es ihnen, beliebige Befehle auszuführen und Dateien zu manipulieren. Diese Vorgehensweise zeigt, wie staatlich unterstützte Hacker öffentliche Cloud-Infrastrukturen nutzen, um ihre Aktivitäten im normalen Netzwerkverkehr zu verbergen. Solche Aktivitäten nutzen legitime ausführbare Dateien, die nicht durch Anwendungskontrollen und Firewall-Regeln blockiert werden.

Die Angriffsketten begannen mit SQL-Injection als initialem Zugangspunkt, um internetfähige Anwendungen und Datenbankserver zu kompromittieren. Hierbei kam das legitime Penetrationstool SQLmap zum Einsatz, das den Prozess der Erkennung und Ausnutzung von SQL-Injection-Schwachstellen automatisiert. Nach einem erfolgreichen Angriff wurde eine PHP-basierte Web-Shell namens PHPsert eingesetzt, die den Angreifern einen dauerhaften Zugang ermöglichte.

Im weiteren Verlauf der Angriffe führten die Hacker Aufklärungsmaßnahmen durch, sammelten Anmeldedaten und bewegten sich lateral zu anderen Systemen im Netzwerk. Dabei nutzten sie das Remote Desktop Protocol (RDP) und Pass-the-Hash-Techniken. Für die Pass-the-Hash-Angriffe verwendeten sie eine modifizierte Version von Mimikatz, die es ermöglicht, Prozesse im Sicherheitskontext eines Benutzers auszuführen, indem ein kompromittierter NTLM-Passworthash genutzt wird.

Die Untersuchung ergab, dass es signifikante Quellcode-Überschneidungen mit anderen chinesischen Cyber-Spionage-Aktivitäten gibt, wie Operation Soft Cell und Operation Tainted Love. Diese maßgeschneiderten Mimikatz-Modifikationen, die auch gemeinsame Code-Signatur-Zertifikate und einzigartige Fehlernachrichten oder Verschleierungstechniken umfassen, wurden unter dem Namen mimCN zusammengefasst.

Bemerkenswert ist auch die Nutzung von SSH und Visual Studio Code Remote Tunnels für die Ausführung von Remote-Befehlen. Die Angreifer nutzten GitHub-Konten zur Authentifizierung und zum Zugriff auf den Tunnel über die browserbasierte Version von Visual Studio Code. Es ist unklar, ob die Angreifer frisch registrierte oder bereits kompromittierte GitHub-Konten verwendeten.

Die Untersuchung ergab, dass die Angreifer hauptsächlich während der typischen Arbeitszeiten in China, zwischen 9 und 21 Uhr CST, in den Netzwerken der Zielorganisationen aktiv waren. Diese Kampagne unterstreicht die strategische Natur dieser Bedrohung, da das Eindringen in Organisationen, die Daten-, Infrastruktur- und Cybersicherheitslösungen für andere Branchen bereitstellen, den Angreifern einen Zugang zur digitalen Lieferkette verschafft.