tgoop.com/codeby_sec/8900
Last Update:
Была обнаружена новая кампания с использованием трояна удалённого доступа Njrat, который использует службу Microsoft Dev Tunnels для связи с центром управления (C2). Этот сервис, предназначенный для помощи разработчикам безопасно предоставлять локальные сервисы в интернете для тестирования и отладки, используется злоумышленниками для установления скрытых соединений.
Microsoft Dev Tunnels предоставляет временные общедоступные или частные URL-адреса, которые сопоставляются с локальными службами, обходя брандмауэры и ограничения NAT, позволяя злоумышленникам создавать зашифрованные туннели, которые трудно обнаружить в обычном сетевом трафике. Эти функции, разработанные для упрощения безопасных процессов разработки, сделали сервис привлекательной целью для киберпреступников.
Прежде чем создать туннель разработки, сначала необходимо скачать и установить devtunnel средство CLI. Это можно сделать используя ссылки на прямую загрузку (Linux, Windows).
Чтобы запустить туннель разработки необходимо войти с помощью идентификатора Microsoft Entra, Майкрософт или учетной записи GitHub. Microsoft Dev Tunnels не поддерживают анонимное размещение туннелей. Для этого вводим команду:
devtunnel user login
После входа в систему запускаем локальный сервер, который будет передавать запросы, отправленные ему и размещаем туннель на этом же порту:
# Start a http server on port 8080
devtunnel echo http -p 8080
# Tunnel port 8080
devtunnel host -p 8080
Успешная host команда выводит на консоль сообщение следующего вида, где tunnel_id — идентификатор туннеля разработки, URL
https://<tunnel_id>.usw2.devtunnels.ms:8080/
в этом примере используется для доступа к туннелю, а https:/<tunnel_id>-8080-inspect.usw2.devtunnels.ms/ для проверки трафика:Connecting to host tunnel relay wss://usw2-data.rel.tunnels.api.visualstudio.com/api/v1/Host/Connect/<tunnel_id>
Hosting port 8080 at https://<tunnel_id>.usw2.devtunnels.ms:8080/, https://<tunnel_id>-8080.usw2.devtunnels.ms/ and inspect it at https:/<tunnel_id>-8080-inspect.usw2.devtunnels.ms/
Ready to accept connections for tunnel: <tunnel_id>