資料來源：
Chinese Hackers Exploit Visual Studio Code in Southeast Asian Cyberattacks,sep/09/2024.Ravie Lakshmanan

⚾️ 新聞概述

中國的駭客組織 - Mustang Panda近期被發現利用 Visual Studio Code 軟體對東南亞政府單位進行間諜活動(由Palo Alto Networks Unit 42 的研究員 Tom Fakterman 披露)。

此次攻擊手法不僅濫用 Visual Studio Code 的反向 shell 執行任意程式碼並傳遞額外的惡意程式，還利用 OpenSSH 執行指令、傳輸檔案並在網路中擴散。

另外研究人員還發現有另一使用 ShadowPad 後門程式的攻擊行為，但目前尚不清楚兩者是否有關聯。這種複雜的攻擊模式，凸顯了現代網路威脅的多樣性和持續演進的特性。

駭客濫用VSCode流程理解如下：

攻擊流程可能如下：

攻擊流程涉及兩台主要設備以及一個工具(Visual Studio Code)。攻擊者聰明的手法，使受害者的電腦建立了一個反向連接，進而實現了遠端控制。

// 有內容有理解錯誤，再麻煩留言告知

1. 初始感染：攻擊者透過某惡意方式（如釣魚郵件、漏洞利用等）感染受害者的電腦
2. VS Code 準備：攻擊者確保受害者電腦上有 Visual Studio Code（可能是已安裝的或新安裝的）
3. 創建反向連接：攻擊者透過某方式（如：remote command）在受害者電腦上運行 code.exe tunnel 命令
4. 生成連結：這個命令會在受害者電腦上創建一個反向連接，並生成一個連結
5. 攻擊者登入：攻擊者使用這個連結並透過自己的 GitHub 帳號登入
6. 建立控制：攻擊者被導向到一個 VS Code 環境，該環境連接到受害者的電腦
7. 執行操作：攻擊者可以透過這個環境在受害者電腦上執行命令或創建文件

反向 shell 是一種 Client-to-Server 的連接，但與傳統的 shell 連接相比，它顛倒了通常的角色和連接方向。

在反向 shell 中，被入侵的機器（通常被視為伺服器）反而扮演了客戶端的角色，主動連接到攻擊者的機器（臨時扮演伺服器角色)

◼️ 名詞學習

• Mustang Panda：中國駭客組織的代號之一，也被稱為 BASIN、Bronze President 等，其自 2012 年開始活躍，長期以來不斷對歐亞地區的政府和宗教團體進行網路間諜活動，尤其鎖定南海周邊國家。
• 進階持續性威脅（APT）：一種長期且針對性的網路攻擊，通常由國家級駭客組織發動。
• 反向 shell（Reverse Shell）：一種允許攻擊者從遠端連接並控制受害電腦的技術。

內容有理解錯誤，再麻煩留言告知，感謝！🙏