Técnica avançada

Hackers chineses abusam de túneis do Visual Studio Code para persistência remota

Hackers chineses usaram túneis do Visual Studio Code para acessar remotamente sistemas de TI no sul da Europa. A técnica abusa de ferramentas legítimas da Microsoft e exige vigilância para evitar exploração.

imagem de hacker

Hackers chineses foram flagrados explorando túneis do Visual Studio Code (VSCode) para estabelecer backdoors persistentes em sistemas de grandes provedores de TI no sul da Europa. Essa abordagem, nomeada de Operação Digital Eye, foi detectada entre junho e julho de 2024, de acordo com pesquisadores da SentinelLabs e Tinexta Cyber.

Os túneis VSCode são parte do recurso de Desenvolvimento Remoto da Microsoft, que permite acesso seguro a dispositivos remotos por meio do Visual Studio Code. No entanto, ao configurá-los com executáveis assinados e infraestrutura do Azure, invasores conseguiram operar sem levantar suspeitas de ferramentas de segurança, demonstrando uma rara manipulação de sistemas legítimos da Microsoft.

Como os hackers operaram

Imagem com o nome hacker em destaque

Para obter acesso inicial, os invasores usaram a ferramenta sqlmap para explorar vulnerabilidades de SQL em servidores conectados à internet. Após comprometerem os sistemas, instalaram um webshell PHP chamado PHPsert para executar comandos remotamente e introduzir cargas adicionais.

O movimento lateral envolveu técnicas como ataques RDP e pass-the-hash, usando uma versão customizada do Mimikatz. Em dispositivos comprometidos, os hackers implantaram uma versão portátil e legítima do Visual Studio Code e configuraram o aplicativo como um serviço persistente do Windows por meio da ferramenta winsw.

Com o túnel VSCode ativado, os invasores acessavam os sistemas remotamente via navegador, autenticando-se com contas Microsoft ou GitHub. Como todo o tráfego era roteado pelo Azure e executáveis assinados eram utilizados, essa técnica passava despercebida por sistemas de monitoramento.

Campanhas anteriores e recomendações

Embora o abuso de túneis VSCode seja raro, casos semelhantes foram documentados. Em setembro de 2024, o grupo Stately Taurus, vinculado a espionagem chinesa, utilizou a mesma ferramenta em ataques contra organizações governamentais do Sudeste Asiático. Apesar disso, as campanhas não apresentam evidências de conexão direta.

Para proteger-se, os especialistas recomendam:

  • Monitorar lançamentos suspeitos do VSCode.
  • Limitar túneis remotos apenas para pessoal autorizado.
  • Utilizar listas de permissões para bloquear executáveis portáteis, como code.exe.
  • Inspecionar serviços do Windows que utilizem code.exe e analisar logs de rede para conexões com domínios *.devtunnels.ms.

Com a técnica se tornando mais conhecida, medidas preventivas são fundamentais para evitar que atacantes aproveitem essa brecha para operações avançadas e furtivas.

Acesse a versão completa
Sair da versão mobile