Uma agência governamental e uma organização religiosa em Taiwan foram vítimas de um ator de ameaça ligado à China, conhecido como Panda rápido os infectou com um conjunto de ferramentas pós-comprometimento anteriormente não oficial chamado CloudScout.
“O conjunto de ferramentas CloudScout é capaz de recuperar dados de vários serviços em nuvem usando cookies de sessão web roubados”, disse o pesquisador de segurança da ESET, Anh Ho. “Com o plugin, o CloudScout funciona perfeitamente com o MgBot, a estrutura de assinatura do malware Evasive Panda.”
A ferramenta de malware baseada em NET, de acordo com uma empresa eslovaca de segurança cibernética, foi descoberta entre maio de 2022 e fevereiro de 2023. Inclui 10 módulos diferentes, escritos em C#, três dos quais são projetados para roubar dados do Google Drive, Gmail. e Outlook. A finalidade dos módulos restantes é desconhecida.
Evasive Panda, também conhecido como Bronze Highland, Daggerfly e StormBamboo, é um grupo de espionagem cibernética com histórico de rastreamento de várias organizações em Taiwan e Hong Kong. Também é conhecido por organizar bares e ataques à cadeia de abastecimento visando a diáspora tibetana.
O que diferencia o ator da ameaça dos demais é o uso de diversos vetores, desde falhas de segurança recentemente divulgadas até o comprometimento da cadeia de fornecimento com envenenamento de DNS, quebra de redes da vítima e uso de MgBot e Nightdoor.
A ESET disse que os módulos CloudScout são projetados para sequestrar sessões autenticadas do navegador da web, roubando cookies e usando-os para obter acesso não autorizado ao Google Drive, Gmail e Outlook. Cada um desses módulos é implementado pelo plugin MgBot, escrito em C++.
“No coração do CloudScout está o pacote CommonUtilities, que fornece todas as bibliotecas de baixo nível para os módulos funcionarem”, explicou Ho.
“CommonUtilities contém poucas bibliotecas personalizadas, apesar da disponibilidade de bibliotecas de código aberto semelhantes na Internet. Essas bibliotecas personalizadas oferecem aos desenvolvedores mais flexibilidade e controle sobre o funcionamento interno de suas implementações, em comparação com outros métodos de código aberto.”
Isso inclui –
- HTTPAccess, que fornece funções de gerenciamento de conexão HTTP
- ManagedCookie, que fornece funções de gerenciamento de cookies para aplicativos da web entre CloudScout e o serviço de destino
- Lenhador
- SimpleJSON
Informações coletadas por três módulos – listagens de pastas de e-mail, mensagens de e-mail (incluindo anexos) e arquivos que correspondem a extensões específicas (.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pdf e .txt) – ele é compactado em um arquivo ZIP para extração pelo MgBot ou Nightdoor.
Dito isso, novas medidas de segurança introduzidas pelo Google, como Device Bound Session Credentials (DBSC) e App Bound Encryption, devem tornar ineficaz o malware para roubo de cookies.
“CloudScout é um conjunto de ferramentas .NET usado pelo Evasive Panda para roubar dados armazenados em serviços em nuvem”, disse Ho. “Ele é usado como uma extensão do MgBot e usa um método de passar o cookie para sequestrar sessões autenticadas em navegadores da web.”
O desenvolvimento ocorre no momento em que o governo canadense acusa um “ator perigoso patrocinado pelo Estado” na China de realizar extensos esforços de vigilância durante vários meses contra vários locais no Canadá.
“A maioria das organizações afetadas que foram alvo eram departamentos e agências do governo do Canadá, e incluíam partidos políticos, a Câmara dos Comuns e o Senado”, disse o comunicado.
“Também têm como alvo uma vasta gama de organizações, incluindo instituições democráticas, infra-estruturas críticas, o sector da defesa, organizações de comunicação social, organizações privadas e ONG.”
