Nhóm APT Evasive Panda sử dụng bộ công cụ CloudScout để đánh cắp cookie phiên đăng nhập từ các dịch vụ đám mây
Gần đây, các tổ chức chính phủ và tôn giáo tại Đài Loan đã trở thành mục tiêu của nhóm APT Evasive Panda có nguồn gốc từ Trung Quốc. Trong chiến dịch tấn công này, Evasive Panda sử dụng bộ công cụ hậu khai thác có tên CloudScout để xâm nhập và thu thập dữ liệu. Bộ công cụ này có khả năng thu thập dữ liệu từ nhiều dịch vụ đám mây khác nhau nhờ vào các cookie phiên web bị đánh cắp. Thông qua một plugin, CloudScout hoạt động đồng bộ với MgBot – bộ khung mã độc đặc trưng của nhóm Evasive Panda.
ESET phát hiện rằng mã độc dựa trên nền tảng .NET này đã xuất hiện từ khoảng tháng 05/2022 đến tháng 02/2023, với tổng cộng 10 module viết bằng C#, trong đó có ba module chuyên thu thập dữ liệu từ Google Drive, Gmail và Outlook. Evasive Panda, còn được biết đến với tên gọi Bronze Highland, Daggerfly, và StormBamboo, là một nhóm gián điệp mạng chuyên tấn công vào các tổ chức tại Đài Loan và Hồng Kông. Nhóm này cũng nổi tiếng với các cuộc tấn công watering hole và chuỗi cung ứng, đặc biệt nhắm vào cộng đồng người Tây Tạng.
Điểm nổi bật của nhóm APT Evasive Panda là khả năng triển khai nhiều phương thức tấn công, bao gồm khai thác các lỗ hổng bảo mật mới công bố và tấn công chuỗi cung ứng bằng DNS poisoning, nhằm xâm nhập vào mạng lưới nạn nhân và triển khai MgBot và Nightdoor.
Phân tích cho thấy, các module CloudScout được thiết kế để chiếm dụng các phiên đã được xác thực trên trình duyệt web bằng cách đánh cắp cookie và sử dụng chúng để truy cập trái phép vào Google Drive, Gmail và Outlook. Các module này được triển khai qua một plugin của MgBot viết bằng C++.
CloudScout được xây dựng dựa trên gói CommonUtilities, cung cấp các thư viện cần thiết ở cấp độ thấp cho các module hoạt động, bao gồm: HTTPAccess – hàm xử lý kết nối giao thức HTTP; • ManagedCookie – hàm quản lý cookie cho các yêu cầu web giữa CloudScout và dịch vụ mục tiêu; Logger; SimpleJSON.
Dữ liệu được thu thập từ ba module – bao gồm danh sách thư mục thư, email (kèm theo tệp đính kèm), và các tệp có định dạng nhất định (.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pdf và .txt) – sẽ được nén thành file ZIP trước khi trích xuất thông qua MgBot hoặc Nightdoor. Những cơ chế bảo mật mới do Google phát hành, như Device Bound Session Credentials (DBSC) và App-Bound Encryption, dự kiến sẽ làm cho các mã độc dựa trên cookie trở nên lỗi thời.
Thông tin về nhóm tấn công Evasive Panda và bộ công cụ CloudScout được công bố trong bối cảnh chính phủ Canada cáo buộc một nhóm tấn công có liên quan đến Trung Quốc đã tiến hành các hoạt động do thám kéo dài nhiều tháng trên nhiều lĩnh vực tại quốc gia này.
Danh sách một số IoC được ghi nhận
Danh sách IoC sẽ được cập nhật liên tục tại https://alert.khonggianmang.vn/
Cùng chuyên mục
Tin khác

Thủ tướng chỉ đạo 6 nhóm nhiệm vụ lớn trọng tâm, cấp bách

Đồng chí Trần Hữu Linh giữ chức Cục trưởng Cục Quản lý và Phát triển thị trường trong nước

Thị trường trong nước tiếp tục là bệ đỡ quan trọng giúp duy trì tăng trưởng kinh tế và ổn định sản xuất

Bảo đảm bộ máy nhà nước đi vào hoạt động thông suốt, không bị gián đoạn sau khi thực hiện sắp xếp

Phá đường dây mua bán thông tin ngân hàng, rửa tiền nghìn tỷ cho người nước ngoài

Đắk Lắk: Bắt 2 vụ sản xuất, buôn bán cà phê bột giả

Đến ngày 30/6, tất cả lãnh đạo, cán bộ, công chức phải xử lý hồ sơ công việc trên môi trường mạng

Việt Nam - Anh: Hợp tác phòng chống hàng hóa giả mạo và xâm phạm quyền sở hữu trí tuệ
Đọc nhiều / Mới nhận

Nhận diện các loại ma tuý mới, ma tuý núp bóng bánh kẹo, thực phẩm chức năng

Cảnh báo khẩn cấp tình trạng giả mạo khách sạn, homestay lừa chiếm đoạt tiền đặt phòng nghỉ

Bắc Kạn phát hiện, thu giữ hơn 2,4 tấn xúc xích không rõ nguồn gốc xuất xứ

Bộ trưởng Nguyễn Hồng Diên báo cáo trước Quốc hội 10 cơ chế, chính sách đặc thù đầu tư xây dựng Dự án điện hạt nhân Ninh Thuận

Thông tin về vụ việc xảy ra cháy tại Trạm biến áp 500kV Long Thành (Đồng Nai)

Sản xuất công nghiệp tiếp tục là động lực tăng trưởng kinh tế năm 2025
