Uma entidade governamental e uma organização religiosa em Taiwan foram alvos de um ator de ameaças vinculado à China conhecido como Evasive Panda, que infectou os sistemas com um conjunto de ferramentas de pós-comprometimento anteriormente não documentadas, codinome CloudScout.
"O conjunto de ferramentas CloudScout é capaz de recuperar dados de vários serviços em nuvem, aproveitando cookies de sessão web roubados," disse o pesquisador de segurança da ESET, Anh Ho.
Por meio de um plugin, o CloudScout trabalha em conjunto com o MgBot, a estrutura de malware assinatura do Evasive Panda.
O uso da ferramenta de malware baseada em .NET, conforme indicado pela empresa eslovaca de cibersegurança, foi detectado entre maio de 2022 e fevereiro de 2023.
Ele incorpora 10 diferentes módulos, escritos em C#, dos quais três são destinados ao roubo de dados do Google Drive, Gmail e Outlook.
O propósito dos módulos restantes permanece desconhecido.
Evasive Panda, também monitorado como Bronze Highland, Daggerfly e StormBamboo, é um grupo de ciberespionagem que tem um histórico de ataques a diversas entidades em Taiwan e Hong Kong.
Também é conhecido por orquestrar ataques do tipo watering hole e ataques à cadeia de suprimentos visando a diáspora tibetana.
O que diferencia esse ator de ameaça dos demais é o uso de vários vetores de acesso inicial, variando desde falhas de segurança recém-divulgadas até comprometimento da cadeia de suprimentos por meio de envenenamento de DNS, para violar redes de vítimas e implantar MgBot e Nightdoor.
A ESET mencionou que os módulos do CloudScout são projetados para sequestrar sessões autenticadas no navegador web, roubando os cookies e usando-os para obter acesso não autorizado ao Google Drive, Gmail e Outlook.
Cada um desses módulos é implantado por um plugin do MgBot, programado em C++.
"No coração do CloudScout está o pacote CommonUtilities, que fornece todas as bibliotecas de baixo nível necessárias para a execução dos módulos," explicou Ho.
CommonUtilities contém várias bibliotecas customizadas, apesar da abundante disponibilidade de bibliotecas de código aberto similares online.
Essas bibliotecas customizadas dão aos desenvolvedores mais flexibilidade e controle sobre os mecanismos internos de sua implantação, comparadas às alternativas de código aberto.
Isso inclui:
-HTTPAccess, que fornece funções para lidar com comunicações HTTP
-ManagedCookie, que fornece funções para gerenciar cookies em solicitações web entre o CloudScout e o serviço alvo
-Logger
-SimpleJSON
As informações coletadas pelos três módulos – listagens de pastas de e-mail, mensagens de e-mail (incluindo anexos) e arquivos que correspondem a certas extensões (.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pdf e .txt) – são comprimidas em um arquivo ZIP para subsequente exfiltração por MgBot ou Nightdoor.
Dito isso, novos mecanismos de segurança introduzidos pelo Google, como Credenciais de Sessão Vinculadas ao Dispositivo (DBSC) e Criptografia Vinculada ao Aplicativo, tendem a tornar o malware de roubo de cookies obsoleto.
"CloudScout é um conjunto de ferramentas .NET usado pelo Evasive Panda para roubar dados armazenados em serviços em nuvem," disse Ho.
Ele é implementado como uma extensão do MgBot e usa a técnica pass-the-cookie para sequestrar sessões autenticadas dos navegadores web.
Este desenvolvimento ocorre ao mesmo tempo em que o Governo do Canadá acusou um "ator de ameaça patrocinado por um estado sofisticado" da China de conduzir esforços de reconhecimento amplos durante vários meses contra numerosos domínios no Canadá.
"A maioria das organizações afetadas visadas eram departamentos e agências do Governo do Canadá, e inclui partidos políticos federais, a Câmara dos Comuns e o Senado," disse em uma declaração.
Eles também visaram dezenas de organizações, incluindo instituições democráticas, infraestrutura crítica, o setor de defesa, organizações de mídia, think tanks e ONGs.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...