Nhóm APT Evasive Panda sử dụng bộ công cụ CloudScout để đánh cắp cookie phiên đăng nhập từ các dịch vụ đám mây

Gần đây, các tổ chức chính phủ và tôn giáo tại Đài Loan đã trở thành mục tiêu của nhóm APT Evasive Panda có nguồn gốc từ Trung Quốc. Trong chiến dịch tấn công này, Evasive Panda sử dụng bộ công cụ hậu khai thác có tên CloudScout để xâm nhập và thu thập dữ liệu. Bộ công cụ này có khả năng thu thập dữ liệu từ nhiều dịch vụ đám mây khác nhau nhờ vào các cookie phiên web bị đánh cắp. Thông qua một plugin, CloudScout hoạt động đồng bộ với MgBot – bộ khung mã độc đặc trưng của nhóm Evasive Panda.

APT 44.jpeg

Gần đây, các tổ chức chính phủ và tôn giáo tại Đài Loan đã trở thành mục tiêu của nhóm APT Evasive Panda có nguồn gốc từ Trung Quốc. Trong chiến dịch tấn công này, Evasive Panda sử dụng bộ công cụ hậu khai thác có tên CloudScout để xâm nhập và thu thập dữ liệu. Bộ công cụ này có khả năng thu thập dữ liệu từ nhiều dịch vụ đám mây khác nhau nhờ vào các cookie phiên web bị đánh cắp. Thông qua một plugin, CloudScout hoạt động đồng bộ với MgBot – bộ khung mã độc đặc trưng của nhóm Evasive Panda.

ESET phát hiện rằng mã độc dựa trên nền tảng .NET này đã xuất hiện từ khoảng tháng 05/2022 đến tháng 02/2023, với tổng cộng 10 module viết bằng C#, trong đó có ba module chuyên thu thập dữ liệu từ Google Drive, Gmail và Outlook. Evasive Panda, còn được biết đến với tên gọi Bronze Highland, Daggerfly, và StormBamboo, là một nhóm gián điệp mạng chuyên tấn công vào các tổ chức tại Đài Loan và Hồng Kông. Nhóm này cũng nổi tiếng với các cuộc tấn công watering hole và chuỗi cung ứng, đặc biệt nhắm vào cộng đồng người Tây Tạng.

Điểm nổi bật của nhóm APT Evasive Panda là khả năng triển khai nhiều phương thức tấn công, bao gồm khai thác các lỗ hổng bảo mật mới công bố và tấn công chuỗi cung ứng bằng DNS poisoning, nhằm xâm nhập vào mạng lưới nạn nhân và triển khai MgBot và Nightdoor.

Phân tích cho thấy, các module CloudScout được thiết kế để chiếm dụng các phiên đã được xác thực trên trình duyệt web bằng cách đánh cắp cookie và sử dụng chúng để truy cập trái phép vào Google Drive, Gmail và Outlook. Các module này được triển khai qua một plugin của MgBot viết bằng C++.

CloudScout được xây dựng dựa trên gói CommonUtilities, cung cấp các thư viện cần thiết ở cấp độ thấp cho các module hoạt động, bao gồm: HTTPAccess – hàm xử lý kết nối giao thức HTTP; ManagedCookie – hàm quản lý cookie cho các yêu cầu web giữa CloudScout và dịch vụ mục tiêu; Logger; SimpleJSON.

Dữ liệu được thu thập từ ba module – bao gồm danh sách thư mục thư, email (kèm theo tệp đính kèm), và các tệp có định dạng nhất định (.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pdf và .txt) – sẽ được nén thành file ZIP trước khi trích xuất thông qua MgBot hoặc Nightdoor. Những cơ chế bảo mật mới do Google phát hành, như Device Bound Session Credentials (DBSC) và App-Bound Encryption, dự kiến sẽ làm cho các mã độc dựa trên cookie trở nên lỗi thời.

Thông tin về nhóm tấn công Evasive Panda và bộ công cụ CloudScout được công bố trong bối cảnh chính phủ Canada cáo buộc một nhóm tấn công có liên quan đến Trung Quốc đã tiến hành các hoạt động do thám kéo dài nhiều tháng trên nhiều lĩnh vực tại quốc gia này.

Danh sách một số IoC được ghi nhận

Danh sách IoC.jpg

Danh sách IoC sẽ được cập nhật liên tục tại https://alert.khonggianmang.vn/

Cùng chuyên mục

Tin khác

Thủ tướng yêu cầu cắt giảm, đơn giản hóa thủ tục hành chính ngay từ khâu xây dựng văn bản

Thủ tướng yêu cầu cắt giảm, đơn giản hóa thủ tục hành chính ngay từ khâu xây dựng văn bản

Thủ tướng Chính phủ Phạm Minh Chính vừa ký Công điện số 131/CĐ-TTg ngày 11/12/2024 về việc cắt giảm, đơn giản hóa thủ tục hành chính, giảm phiền hà, chi phí tuân thủ cho người dân, doanh nghiệp ngay từ khâu xây dựng văn bản quy phạm pháp luật.
Thủ tướng đôn đốc triển khai các dự án nhà ở xã hội

Thủ tướng đôn đốc triển khai các dự án nhà ở xã hội

Đó là nội dung tại Công điện số 130/CĐ-TTg ngày 10/12/2024 của Thủ tướng Chính phủ về việc đôn đốc tập trung chỉ đạo, tháo gỡ kịp thời các khó khăn, vướng mắc để thúc đẩy triển khai các dự án nhà ở xã hội.
Bộ Nội vụ định hướng xây dựng phương án sắp xếp cán bộ, công chức, viên chức

Bộ Nội vụ định hướng xây dựng phương án sắp xếp cán bộ, công chức, viên chức

Thứ trưởng Bộ Nội vụ Trương Hải Long vừa có Văn bản số 7968 gửi các Bộ trưởng các bộ, ngành, Thủ trưởng các cơ quan thuộc Chính phủ; Chủ tịch UBND các tỉnh, thành phố về việc định hướng xây dựng phương án bố trí, sắp xếp cán bộ, công chức, viên chức và người làm việc theo chế độ hợp đồng lao động khi thực hiện sắp xếp tổ chức bộ máy hành chính.
Hà Nội tăng cường kiểm tra và giám sát hóa đơn điện tử trong kinh doanh bán lẻ xăng dầu

Hà Nội tăng cường kiểm tra và giám sát hóa đơn điện tử trong kinh doanh bán lẻ xăng dầu

Phó Chủ tịch UBND Thành phố Hà Minh Hải vừa ký Công văn số 4129/UBND-KTTH ngày 9/12/2024, nhằm tăng cường công tác kiểm tra và giám sát việc thực hiện quy định về hóa đơn điện tử (HĐĐT) từng lần bán hàng đối với hoạt động bán lẻ xăng dầu trên địa bàn.
Khởi tố 02 đối tượng về tội buôn lậu và vận chuyển trái phép tiền tệ qua biên giới

Khởi tố 02 đối tượng về tội buôn lậu và vận chuyển trái phép tiền tệ qua biên giới

Quá trình kiểm tra, lực lượng chức năng phát hiện 230.000 USD (tương đương 5,8 tỷ tiền Việt Nam đồng) được giấu kín trong các thùng hàng tại vị trí ghế phụ của xe ô tô.
Thủ tướng Chính phủ yêu cầu tăng cường quản lý, sử dụng hóa đơn điện tử

Thủ tướng Chính phủ yêu cầu tăng cường quản lý, sử dụng hóa đơn điện tử

Thủ tướng Chính phủ Phạm Minh Chính vừa ký Công điện số 129/CĐ-TTg ngày 9/12/2024 yêu cầu các bộ ngành, địa phương tăng cường quản lý, sử dụng hóa đơn điện tử, nâng cao hiệu quả công tác thu thuế đối với thương mại điện tử.
Nhóm APT “Earth Estries” sử dụng mã độc GHOSTSPIDER trong chiến dịch tấn công nhằm vào ngành viễn thông tại hơn 12 quốc gia

Nhóm APT “Earth Estries” sử dụng mã độc GHOSTSPIDER trong chiến dịch tấn công nhằm vào ngành viễn thông tại hơn 12 quốc gia

Gần đây, các chuyên gia bảo mật đã ghi nhận nhóm tấn công Earth Estries đang sử dụng mã độc backdoor mới có tên “GHOSTSPIDER” trong chiến dịch tấn công nhằm vào công ty thuộc ngành điện tử viễn thông tại các quốc gia Đông Nam Á.
Kế hoạch định hướng sắp xếp, tinh gọn tổ chức bộ máy của Chính phủ

Kế hoạch định hướng sắp xếp, tinh gọn tổ chức bộ máy của Chính phủ

Phó Thủ tướng Thường trực Nguyễn Hòa Bình đã ký ban hành văn bản số 141/KH-BCĐTKNQ18 ngày 6/12/2024 kế hoạch định hướng sắp xếp, tinh gọn tổ chức bộ máy của Chính phủ.
Xem thêm

Đọc nhiều / Mới nhận