中国黑客团体首次利用VSCode漏洞进行攻击

重要信息摘要

• 一个与中国国家相关的间谍集团利用Visual Studio Code（VS Code）的已知漏洞发起恶意攻击。
• VS Code是微软为Windows、Linux和macOS开发的免费源代码编辑器，是开发者中最受欢迎的集成开发环境（IDE）。
• 攻击者利用VS Code的"Tunnel"功能，实现对目标系统的初步访问。
• 专家建议用户采取措施，加强对VS Code攻击的防范。

最近，一个与中国政府有关的间谍团体成为首个在恶意攻击中利用微软Visual StudioCode漏洞的威胁演员。根据2023年64,000多名开发者的调查，VSCode是目前最受欢迎的集成开发环境（IDE），新手开发者的使用率高达78%，专业开发者的使用率也达到74%。相较之下，第二热门的IDE VisualStudio的使用率仅为28%。

在2023年9月，一名威胁研究人员描述了如何利用VS Code的一个功能"Tunnel"来获取目标环境的初步访问。根据Palo AltoNetworks的Unit 42报告，中国的Mustang Panda（别名Stately Taurus、BronzePresident、RedDelta、Luminous Moth、Earth Preta和CamaroDragon）已经在对东南亚一政府机构的间谍攻击中使用了此策略。

微软的发言人告诉DarkReading：“这项技术要求攻击者之前需获得目标机器的代码执行权限。作为安全最佳实践，我们鼓励客户在上网时保持良好的计算习惯，尤其是对于点击网站链接或打开未知文件时要保持警惕。”

将VS Code转变为反向Shell

“对于网络安全专家而言，检测和防止已签名的反向Shell二进制文件是最担忧的情况之一，”Truvis Thornton在Unit42最新研究的前一年指出。“猜猜怎么著？微软乐意给我们这样的机会。”

VS Code Tunnel于2023年7月首次推出，允许用户在公开网络上分享他们的VSCode环境，并仅需通过GitHub帐户进行身份验证。拥有受害者GitHub凭证的攻击者将能造成损害，更糟糕的是，攻击者可以在目标计算机上远程安装一个便携版的VSCode。由于这是一个合法的签名二进制文件，安全软件不会将其标记为可疑。

然而，它行为却像个反向Shell。通过运行“code.exetunnel”命令，攻击者打开GitHub身份验证页面，可以用自己的帐户登录。随后，系统会重定向到一个与目标系统相连的VSCode环境，攻击者可以随意执行命令和脚本，并引入新文件。

MustangPanda这个成立已有12年的高级持续威胁（APT），以对抗政府、非政府组织（NGO）及亚洲与欧洲的宗教团体进行间谍活动而闻名。它利用这一策略进行目标侦察、投放恶意软件，并最重要的，窃取敏感数据。

如何应对VSCode攻击

“虽然VSCode的滥用令人担忧，但在我们看来，这不是一个漏洞，”Unit 42的威胁研究主任AssafDahan强调。“相反，这是一个被威胁行为者滥用的合法功能，这种情况在许多合法软件中经常发生（比如lolbins）。"

组织可以采取多种方式来防范自带VSCode攻击。除了寻找妥协指标（IoCs），他表示：“还需要考虑是否应该限制或禁止那些不是开发者或不需要使用此特定应用的员工在终端上使用VSCode。这可以减少攻击面。”

“最后，考虑限制对VSCode隧道域名“.tunnels.api.visualstudio，我们将与两位资讯安全专业人士进行对话，他们在艾奥瓦州达拉斯县被逮捕，并被迫在监狱中过夜——仅仅因为他们在做自己渗透测试的工作。