Uma entidade governamental e uma organização religiosa em Taiwan foram alvo de uma ameaça ligada à China conhecida como Panda Evasivo que os infectou com um conjunto de ferramentas pós-comprometimento anteriormente não documentado, codinome CloudScout.
“O conjunto de ferramentas CloudScout é capaz de recuperar dados de vários serviços em nuvem, aproveitando cookies de sessão internet roubados”, disse o pesquisador de segurança da ESET, Anh Ho. “Através de um plugin, o CloudScout funciona perfeitamente com o MgBot, a estrutura de malware exclusiva do Evasive Panda.”
O uso da ferramenta de malware baseada em .NET, pela empresa eslovaca de segurança cibernética, foi detectado entre maio de 2022 e fevereiro de 2023. Ela incorpora 10 módulos diferentes, escritos em C#, dos quais três são destinados ao roubo de dados do Google Drive, Gmail e Outlook. A finalidade dos módulos restantes permanece desconhecida.
Evasive Panda, também conhecido como Bronze Highland, Daggerfly e StormBamboo, é um grupo de espionagem cibernética que tem um histórico de ataques a várias entidades em Taiwan e Hong Kong. Também é conhecido por orquestrar ataques a poços de água e à cadeia de abastecimento contra a diáspora tibetana.
O que diferencia o ator da ameaça dos demais é o uso de vários vetores de acesso iniciais, que vão desde falhas de segurança recentemente divulgadas até o comprometimento da cadeia de fornecimento por meio de envenenamento de DNS, para violar as redes das vítimas e implantar MgBot e Nightdoor.
A ESET disse que os módulos CloudScout são projetados para sequestrar sessões autenticadas no navegador da internet, roubando cookies e usando-os para obter acesso não autorizado ao Google Drive, Gmail e Outlook. Cada um desses módulos é implementado por um plugin MgBot, programado em C++.
“No coração do CloudScout está o pacote CommonUtilities, que fornece todas as bibliotecas de baixo nível necessárias para a execução dos módulos”, explicou Ho.
“CommonUtilities contém algumas bibliotecas implementadas de forma personalizada, apesar da abundante disponibilidade on-line de bibliotecas de código aberto semelhantes. Essas bibliotecas personalizadas oferecem aos desenvolvedores mais flexibilidade e controle sobre o funcionamento interno de seu implante, em comparação com alternativas de código aberto.”
Isso inclui –
- HTTPAccess, que fornece funções para lidar com comunicações HTTP
- ManagedCookie, que fornece funções para gerenciar cookies para solicitações da internet entre CloudScout e o serviço direcionado
- Registrador
- SimpleJSON
As informações coletadas pelos três módulos – listagens de pastas de e-mail, mensagens de e-mail (incluindo anexos) e arquivos que correspondem a determinadas extensões (.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pdf e .txt) – é compactado em um arquivo ZIP para posterior exfiltração pelo MgBot ou Nightdoor.
Dito isso, novos mecanismos de segurança introduzidos pelo Google, como Machine Sure Session Credentials (DBSC) e App-Sure Encryption, estão fadados a tornar obsoleto o malware de roubo de cookies.
“CloudScout é um conjunto de ferramentas .NET usado pelo Evasive Panda para roubar dados armazenados em serviços em nuvem”, disse Ho. “Ele é implementado como uma extensão do MgBot e usa a técnica pass-the-cookie para sequestrar sessões autenticadas de navegadores da internet.”
O desenvolvimento ocorre no momento em que o governo do Canadá acusou um “sofisticado ator de ameaça patrocinado pelo Estado” da China de conduzir amplos esforços de reconhecimento que duraram vários meses contra vários domínios no Canadá.
“A maioria das organizações afetadas foram departamentos e agências do governo do Canadá, e incluem partidos políticos federais, a Câmara dos Comuns e o Senado”, afirmou em comunicado.
“Também visaram dezenas de organizações, incluindo instituições democráticas, infra-estruturas críticas, o sector da defesa, organizações de comunicação social, grupos de reflexão e ONG.”