Una entidad gubernamental y una organización religiosa en Taiwán han sido atacadas por un actor de amenazas vinculado a China conocido como panda evasivo quien los infectó con un conjunto de herramientas posteriores al compromiso no documentado anteriormente llamado CloudScout.
“El conjunto de herramientas CloudScout es capaz de extraer datos de varios servicios en la nube mediante la explotación de cookies de sesión web robadas”, Anh Ho, investigador de seguridad de ESET. dicho. “A través de un complemento, CloudScout funciona a la perfección con MgBot, el marco de malware característico de Evasive Panda”.
El uso de la herramienta de malware basada en .NET, según la empresa eslovaca de ciberseguridad, fue detectado entre mayo de 2022 y febrero de 2023. Integra 10 módulos diferentes, escritos en C#, tres de los cuales tienen como objetivo robar datos de Google Drive, Gmail . y perspectivas. Se desconoce el propósito de los módulos restantes.
Evasive Panda, también conocido como Bronze Highland, Daggerfly y StormBamboo, es un grupo de ciberespionaje que anteriormente afectó a varias entidades en Taiwán y Hong Kong. También es conocido por orquestar ataques a puntos de agua y cadenas de suministro dirigidos a la diáspora tibetana.
Lo que distingue al actor de amenazas de los demás es el uso de múltiples vectores de acceso inicial, que van desde vulnerabilidades de seguridad recientemente reveladas hasta el compromiso de la cadena de suministro a través del envenenamiento del DNS, la violación de las redes de las víctimas y el despliegue de MgBot y Nightdoor.
ESET dijo que los módulos CloudScout están diseñados para secuestrar sesiones autenticadas en el navegador web robando cookies y usándolas para obtener acceso no autorizado a Google Drive, Gmail y Outlook. Cada uno de estos módulos se implementa mediante un complemento MgBot, programado en C++.
“En el corazón de CloudScout se encuentra el paquete CommonUtilities, que proporciona todas las bibliotecas de bajo nivel necesarias para ejecutar los módulos”, explicó Ho.
“CommonUtilities contiene una serie de bibliotecas implementadas de forma personalizada a pesar de la abundante disponibilidad de bibliotecas de código abierto similares en línea. Estas bibliotecas personalizadas brindan a los desarrolladores más flexibilidad y control sobre el funcionamiento interno de su implante, en comparación con las alternativas de código abierto”.
Esto incluye –
- HTTPAccess, que proporciona funciones para gestionar las comunicaciones HTTP.
- ManagedCookie, que proporciona funciones para administrar cookies para solicitudes web entre CloudScout y el servicio de destino.
- Grabadora
- JSON simple
Información recopilada por los tres módulos: listas de carpetas de correo, mensajes electrónicos (incluidos archivos adjuntos) y archivos correspondientes a determinadas extensiones (.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pdf y .txt) – se comprime en un archivo ZIP para su posterior filtración por parte de MgBot o Nightdoor.
Dicho esto, los nuevos mecanismos de seguridad introducidos por Google, como las credenciales de sesión relacionadas con el dispositivo (DBSC) y el cifrado relacionado con las aplicaciones, inevitablemente harán que el malware que roba cookies quede obsoleto.
“CloudScout es un conjunto de herramientas .NET utilizadas por Evasive Panda para robar datos almacenados en servicios en la nube”, dijo Ho. “Se implementa como una extensión de MgBot y utiliza la técnica de pasar la cookie para secuestrar sesiones autenticadas del navegador web. “
Este acontecimiento se produce cuando el Gobierno de Canadá acusa a un “sofisticado actor de amenazas patrocinado por el Estado” chino de llevar a cabo extensos esfuerzos de reconocimiento que abarcan varios meses en numerosas áreas de Canadá.
“La mayoría de las organizaciones afectadas eran departamentos y agencias del Gobierno de Canadá, en particular partidos políticos federales, la Cámara de los Comunes y el Senado”, precisa. dicho en un comunicado.
“También atacaron a docenas de organizaciones, incluidas instituciones democráticas, infraestructura crítica, el sector de defensa, organizaciones de medios, grupos de expertos y ONG”.