過往我們提及駭客會用來從事寄生攻擊的應用程式,大多主要是企業常見的應用程式,或是Windows作業系統的元件,但如今,開發工具竟然也成為駭客濫用的標的。

資安業者Palo Alto Networks指出,中國駭客組織Stately Taurus在近期針對東南亞政府機關從事網路間諜活動的過程裡,濫用IDE工具Visual Studio Code(VS Code),藉由其嵌入式反向Shell的功能,在受害組織的網路環境活動,研究人員指出,這種攻擊手法最早是有資安專家在去年9月提出,但這是他們首次實際看到被運用於攻擊行動。

究竟駭客如何用於發動攻擊?研究人員指出,攻擊者可利用主程式code.exe,並執行code.exe tunnel的指令,接著攻擊者就會存取特定的URL,並登入GitHub帳號。

一旦成功登入,攻擊者便會被重新導向與受害電腦連結的網頁版VS Code環境,而能夠執行任意命令或是指令碼,甚至在受害電腦產生新的檔案。

針對Stately Taurus發起的攻擊行動,研究人員指出,駭客利用VS Code傳送惡意軟體到受害電腦,並執行偵察、竊取機密資料。

研究人員表示,這些駭客得逞後,會進一步對其他裝置如法炮製,竊取其中的資料,使用公用程式curl傳送到雲端檔案共享服務Dropbox,避免引發關注。

在這波攻擊行動裡,駭客使用後門程式ToneShell做為主要的工具,並利用WinRAR打包竊得檔案。但研究人員也看到利用另一款後門程式ShadowPad,並使用Office輸入法編輯器元件imecmnt.exe載入的攻擊行動,由於此舉為該組織慣用的犯案伎倆,然而,Palo Alto Networks目前還無法確定兩者的關聯。

熱門新聞

Advertisement