Un gruppo di cyber spionaggio sospettato di avere legami con la Cina è stato associato ad attacchi mirati contro grandi fornitori di servizi IT business-to-business nel Sud Europa. Questi attacchi fanno parte di una campagna denominata "Operation Digital Eye". Le intrusioni, avvenute tra la fine di giugno e metà luglio 2024, sono state rilevate e neutralizzate prima che potessero progredire alla fase di esfiltrazione dei dati.

Gli attori delle minacce hanno abusato di Visual Studio Code e dell'infrastruttura Microsoft Azure per scopi di comando e controllo (C2), tentando di eludere il rilevamento facendo apparire le attività dannose come legittime. Non è ancora noto quale gruppo di hacking legato alla Cina sia dietro questi attacchi, complice la condivisione diffusa di strumenti e infrastrutture tra gli attori delle minacce allineati con la nazione dell'Asia orientale.

Uso improprio dei Tunnels Remoti

Al centro dell'Operation Digital Eye vi è l'uso improprio dei Tunnels Remoti di Visual Studio Code, una funzionalità legittima che consente l'accesso remoto ai punti finali, permettendo agli attaccanti di eseguire comandi arbitrari e manipolare file. Parte del motivo per cui gli hacker sponsorizzati dal governo utilizzano tali infrastrutture cloud pubbliche è che la loro attività si confonde con il traffico tipico osservato dai difensori di rete. Inoltre, tali attività impiegano eseguibili legittimi che non vengono bloccati dai controlli delle applicazioni e dalle regole firewall.

Catene di attacco osservate

Le catene di attacco osservate comportano l'uso di SQL injection come vettore di accesso iniziale per violare applicazioni e server database esposti a internet. L'iniezione di codice viene realizzata tramite uno strumento legittimo di penetration testing chiamato SQLmap che automatizza il processo di rilevamento e sfruttamento delle vulnerabilità di SQL injection. Un attacco riuscito è seguito dal dispiegamento di una web shell basata su PHP, chiamata PHPsert, che consente agli attori delle minacce di mantenere un punto d'appoggio e stabilire un accesso remoto persistente. Le fasi successive includono ricognizione, raccolta di credenziali e movimenti laterali verso altri sistemi nella rete utilizzando il Protocollo Desktop Remoto (RDP) e tecniche pass-the-hash.

Attacchi pass-the-hash

I ricercatori hanno osservato che per gli attacchi pass-the-hash è stata utilizzata una versione modificata di Mimikatz. Questo strumento consente l'esecuzione di processi all'interno del contesto di sicurezza di un utente, sfruttando un hash di password NTLM compromesso, bypassando la necessità della password effettiva dell'utente.

Si è riscontrato che gli operatori erano principalmente attivi nelle reti delle organizzazioni bersaglio durante le tipiche ore lavorative in Cina, per lo più tra le 9:00 e le 21:00 CST. La campagna sottolinea la natura strategica di questa minaccia, poiché violare organizzazioni che forniscono soluzioni di dati, infrastrutture e sicurezza informatica ad altri settori offre agli attaccanti un punto d'appoggio nella catena di approvvigionamento digitale, permettendo loro di estendere la loro portata a entità a valle.