Cyberprzestępcy udowadniają, iż nie potrzebują wyszukanych exploitów, by skutecznie zaatakować. Coraz częściej wykorzystują do tego legalne, powszechnie stosowane aplikacje. Najnowsze analizy pokazały, iż popularne środowisko programistyczne Visual Studio Code może zostać użyte jako element ukrytego kanału komunikacji C2 (Command and Control).

Jak wyglądał atak?

Schemat działania był stosunkowo prosty:

• Na komputerze ofiary pobrano i uruchomiono instalator znanego narzędzia administracyjnego.

• Z jego pomocą do systemu trafił Visual Studio Code, który został zainstalowany w trybie usługi systemowej.

• Kluczowym elementem było włączenie opcji „tunnel”, dzięki czemu przestępcy mogli zestawić bezpieczne połączenie z własnymi serwerami.

• Logi zostały przekierowane do katalogu użytkownika, co znacząco utrudniało ich wykrycie.

W późniejszej fazie ataku pojawiły się dodatkowe komponenty, najpewniej przygotowujące grunt pod wdrożenie ransomware.

Dlaczego to niebezpieczne?

To przykład techniki Living-off-the-Land (LotL) – wykorzystywania popularnych narzędzi administracyjnych do działań przestępczych. Ponieważ aplikacje takie jak Visual Studio Code są powszechnie obecne w wielu firmach, ich uruchamianie nie wzbudza podejrzeń. To sprawia, iż atak może przebiegać niemal niezauważenie.

Wnioski dla organizacji

1. Monitoruj nietypowe użycia legalnych aplikacji – np. instalacje w trybie usługi czy uruchamianie z nietypowymi parametrami.

2. Stosuj rozwiązania XDR i EDR, które potrafią wykrywać anomalie i automatycznie izolować podejrzane hosty.

3. Podnoś świadomość zespołów IT – legalne narzędzia mogą stać się bronią w rękach napastników.

Źródło: sekurak.pl

Wyszukując oferty, stawiam na te najbardziej opłacalne. Wybierając poniższe usługi, wspierasz blog.

Wirtualne numery SIM – z tym numerem założysz konto i zdobędziesz zniżki za pierwsze zamówienie na UberEats czy pyszne.[l