SentinelLabsは12月10日(米国時間)、「Operation Digital Eye|Chinese APT Compromises Critical Digital Infrastructure via Visual Studio Code Tunnels - SentinelOne」において、中国に関係しているとみられる脅威アクターがVisual Studio Codeを悪用してサイバー攻撃を実施したと報じた。

攻撃は2024年6月下旬から7月中旬にかけて南ヨーロッパのB2B ITサービスプロバイダーを標的に実施された。SentinelLabsはこの一連のサイバー攻撃を「Operation Digital Eye」と名付けて調査している。なお、サイバー攻撃はデータ侵害の直前で検出され、阻止されている。

  • Operation Digital Eye|Chinese APT Compromises Critical Digital Infrastructure via Visual Studio Code Tunnels - SentinelOne

    Operation Digital Eye|Chinese APT Compromises Critical Digital Infrastructure via Visual Studio Code Tunnels - SentinelOne

侵害経路

SentinelLabsによると、脅威アクターは初期の侵害経路としてSQLインジェクションを悪用したという。SQLインジェクションの発見には、オープンソースのペネトレーションテストツール「sqlmap」を悪用したことが確認されている。

脅威アクターはSQLインジェクションによって侵入に成功すると、アクセスの永続性を確保するためにPHPで記述されたWebシェル「PHPsert」を設置。次に.NET Coreランタイムに含まれる「Createdump」ツールを使用してLocal Security Authority Subsystem Service(LSASS)プロセスのメモリ空間を抽出して認証情報を窃取した。

横方向の移動にはリモートデスクトッププロトコル(RDP: Remote Desktop Protocol)とパスザハッシュ攻撃を使用。パスザハッシュ攻撃にはオープンソースのエクスプロイトツール「Mimikatz」のカスタムバージョンを使用し、内部ネットワーク全体への侵入を成功させている。

Visual Studio Codeの悪用

標的環境への侵入に成功した脅威アクターは、リモートコード実行(RCE: Remote Code Execution)を可能にするため、SSHおよびVisual Studio Codeのリモートトンネル機能を悪用した。リモートトンネル機能を利用することで、標的システムへの永続的なバックドアを可能にしたとされる。

なお、リモートトンネルの認証にはGitHubアカウントを、ネットワークインフラストラクチャにはMicrosoft Azureを悪用したことが確認されている。これはMicrosoftサービスを利用することで、セキュリティ担当者およびセキュリティソリューションの検出回避を試みたものと推測されている。

中国との関係

SentinelLabsは、今回のサイバー攻撃で使用されたマルウェア、インフラ、技術、被害状況、活動のタイミングなど、複数の指標を総合的に判断した結果として、中国系クラスターによる攻撃の可能性が高いとしている。しかしながら、中国系クラスターはマルウェアやマニュアルを広範囲に共有していることが明らかになっており、今回のサイバー攻撃に関与したグループの特定には至っていない。

なお、中国の脅威アクターがVisual Studio Codeを悪用した事案は過去にも発見されている(参考:「中国の脅威グループ、サイバー攻撃にVisual Studio Code悪用 | TECH+(テックプラス)」)。SentinelLabsはこの事案と今回のサイバー攻撃に、戦術、技術、手順(TTPs: Tactics, Techniques, and Procedures)の重複はないとし、異なる中国の脅威アクターによるサイバー攻撃の可能性が高いとしている。