Um órgão governamental e uma organização religiosa em Taiwan foram alvos de um grupo de hackers chines, conhecido como Evasive Panda, que os infectou com um conjunto de ferramentas batizado de CloudScout.
"O conjunto de ferramentas CloudScout é capaz de obter dados de diversos serviços de nuvem, aproveitando-se de cookies de sessão roubados" afirmou o pesquisador de segurança da ESET, Anh Ho. "Por meio de um plugin, o CloudScout trabalha perfeitamente com o MgBot, o framework de malware característico do Evasive Panda."
A empresa de cibersegurança eslovaca identificou o uso do malware baseado em .NET entre maio de 2022 e fevereiro de 2023. O CloudScout possui dez módulos diferentes, desenvolvidos em C#, três dos quais têm como objetivo roubar dados do Google Drive, Gmail e Outlook. Os propósitos dos outros módulos ainda não foram determinados.
Conhecido também como Bronze Highland, Daggerfly e StormBamboo, o Evasive Panda é um grupo de ciberespionagem com histórico de ataques a várias entidades em Taiwan e Hong Kong, além de ataques de cadeia de suprimentos e "watering hole" direcionados à diáspora tibetana.
O que diferencia esse grupo é o uso de múltiplos vetores de acesso inicial, que vão desde falhas de segurança recentemente descobertas até comprometimentos na cadeia de suprimentos por meio de envenenamento de DNS, para violar redes de vítimas e implantar o MgBot e o Nightdoor.
Segundo a ESET, os módulos do CloudScout foram projetados para sequestrar sessões autenticadas no navegador, roubando cookies e usando-os para obter acesso não autorizado ao Google Drive, Gmail e Outlook. Cada módulo é implementado por um plugin do MgBot, programado em C++.
"No núcleo do CloudScout está o pacote CommonUtilities, que fornece todas as bibliotecas de baixo nível necessárias para a execução dos módulos," explicou Ho.
"O CommonUtilities contém diversas bibliotecas customizadas, apesar da ampla disponibilidade de alternativas de código aberto online. Essas bibliotecas personalizadas dão aos desenvolvedores mais flexibilidade e controle sobre o funcionamento interno do implante."
Entre essas bibliotecas estão:
HTTPAccess, que oferece funções para lidar com comunicações HTTP;
ManagedCookie, que gerencia cookies em requisições web entre o CloudScout e o serviço alvo;
Logger e SimpleJSON.
As informações coletadas pelos três módulos — listas de pastas de email, mensagens de email (incluindo anexos) e arquivos com certas extensões (.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pdf e .txt) — são comprimidas em um arquivo ZIP para exfiltração subsequente pelo MgBot ou Nightdoor.
Novos mecanismos de segurança implementados pelo Google, como as Credenciais de Sessão Vinculadas ao Dispositivo (DBSC) e a Criptografia Vinculada a Aplicativo, tendem a tornar obsoletos os malwares de roubo de cookies.
"O CloudScout é um conjunto de ferramentas em .NET usado pelo Evasive Panda para roubar dados armazenados em serviços de nuvem," acrescentou Ho. "Ele é implementado como uma extensão do MgBot e utiliza a técnica de pass-the-cookie para sequestrar sessões autenticadas dos navegadores."
Esses desenvolvimentos surgem enquanto o Governo do Canadá acusa um "agente sofisticado patrocinado por um Estado" da China de realizar esforços de reconhecimento em várias frentes contra numerosos domínios no Canadá.
"A maioria das organizações afetadas eram departamentos e agências do Governo do Canadá, incluindo partidos políticos federais, a Câmara dos Comuns e o Senado," informou o governo em comunicado.
"Os alvos também incluíam dezenas de outras organizações, como instituições democráticas, infraestrutura crítica, setor de defesa, organizações de mídia, think tanks e ONGs."
Via - THN
Commenti