De aan China gelinkte geavanceerde persistente dreigingsgroep (APT) die bekend staat als Mustang-panda Er is waargenomen dat Visual Studio Code-software als wapen wordt gebruikt als onderdeel van spionageoperaties gericht op overheidsinstellingen in Zuidoost-Azië.
“Deze dreigingsactor gebruikte de ingebouwde reverse shell-functie van Visual Studio Code om voet aan de grond te krijgen in doelnetwerken”, aldus Tom Fakterman, onderzoeker bij Palo Alto Networks Unit 42, in een rapport. Hij beschreef het als een “relatief nieuwe techniek” die voor het eerst werd gedemonstreerd in september 2023 door Truvis Thornton.
Er wordt aangenomen dat de campagne een voortzetting is van een eerder gedocumenteerde aanvalsactiviteit die eind september 2023 gericht was op een niet nader genoemde overheidsinstantie in Zuidoost-Azië.
Mustang Panda, ook bekend onder de namen BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta en Red Lich, is sinds 2012 operationeel en voert routinematig cyberespionagecampagnes uit die gericht zijn op overheids- en religieuze instellingen in Europa en Azië, met name in landen aan de Zuid-Chinese Zee.
De laatste waargenomen aanvalsreeks valt op door het misbruik van de reverse shell van Visual Studio Code om willekeurige code uit te voeren en extra payloads te leveren.
“Om Visual Studio Code te misbruiken voor kwaadaardige doeleinden, kan een aanvaller de draagbare versie van code.exe (het uitvoerbare bestand voor Visual Studio Code) gebruiken, of een reeds geïnstalleerde versie van de software,” merkte Fakterman op. “Door de opdracht code.exe tunnel uit te voeren, ontvangt een aanvaller een link waarmee hij zich met zijn eigen account moet aanmelden bij GitHub.”
Zodra deze stap is voltooid, wordt de aanvaller doorgestuurd naar een Visual Studio Code-webomgeving die is verbonden met de geïnfecteerde computer. Hier kan de aanvaller opdrachten uitvoeren of nieuwe bestanden maken.
Het is de moeite waard om te vermelden dat het kwaadaardige gebruik van deze techniek eerder al werd benadrukt door het Nederlandse cybersecuritybedrijf mnemonic in verband met zero-day-exploitatie van een kwetsbaarheid in de Network Security Gateway-producten van Check Point (CVE-2024-24919, CVSS-score: 8,6) eerder dit jaar.
Unit 42 zei dat de Mustang Panda-acteur het mechanisme gebruikte om malware te verspreiden, verkenningen uit te voeren en gevoelige gegevens te exfiltreren. Verder zou de aanvaller OpenSSH hebben gebruikt om opdrachten uit te voeren, bestanden over te dragen en zich over het netwerk te verspreiden.
Dat is nog niet alles. Een nadere analyse van de geïnfecteerde omgeving heeft een tweede cluster van activiteit onthuld die “tegelijkertijd en soms zelfs op dezelfde eindpunten plaatsvond” en die gebruikmaakte van de ShadowPad-malware, een modulaire backdoor die breed gedeeld wordt door Chinese spionagegroepen.
Het is op dit moment onduidelijk of deze twee inbraaksystemen met elkaar in verband staan, of dat twee verschillende groepen ‘op elkaars toegang meeliften’.
“Op basis van het forensisch bewijs en de tijdlijn zou men kunnen concluderen dat deze twee clusters afkomstig zijn van dezelfde dreigingsactor (Stately Taurus)”, aldus Fakterman. “Er zouden echter andere mogelijke verklaringen kunnen zijn die deze connectie kunnen verklaren, zoals een gezamenlijke inspanning tussen twee Chinese APT-dreigingsactors.”