Gần đây, các tổ chức chính phủ và tôn giáo tại Đài Loan đã trở thành mục tiêu của nhóm APT Evasive Panda có nguồn gốc từ Trung Quốc. Trong chiến dịch tấn công này, Evasive Panda sử dụng bộ công cụ hậu khai thác có tên CloudScout để xâm nhập và thu thập dữ liệu. Bộ công cụ này có khả năng thu thập dữ liệu từ nhiều dịch vụ đám mây khác nhau nhờ vào các cookie phiên web bị đánh cắp. Thông qua một plugin, CloudScout hoạt động đồng bộ với MgBot – bộ khung mã độc đặc trưng của nhóm Evasive Panda.

ESET phát hiện rằng mã độc dựa trên nền tảng .NET này đã xuất hiện từ khoảng tháng 05/2022 đến tháng 02/2023, với tổng cộng 10 module viết bằng C#, trong đó có ba module chuyên thu thập dữ liệu từ Google Drive, Gmail và Outlook. Evasive Panda, còn được biết đến với tên gọi Bronze Highland, Daggerfly, và StormBamboo, là một nhóm gián điệp mạng chuyên tấn công vào các tổ chức tại Đài Loan và Hồng Kông. Nhóm này cũng nổi tiếng với các cuộc tấn công watering hole và chuỗi cung ứng, đặc biệt nhắm vào cộng đồng người Tây Tạng.

Điểm nổi bật của nhóm APT Evasive Panda là khả năng triển khai nhiều phương thức tấn công, bao gồm khai thác các lỗ hổng bảo mật mới công bố và tấn công chuỗi cung ứng bằng DNS poisoning, nhằm xâm nhập vào mạng lưới nạn nhân và triển khai MgBot và Nightdoor.

Phân tích cho thấy, các module CloudScout được thiết kế để chiếm dụng các phiên đã được xác thực trên trình duyệt web bằng cách đánh cắp cookie và sử dụng chúng để truy cập trái phép vào Google Drive, Gmail và Outlook. Các module này được triển khai qua một plugin của MgBot viết bằng C++.

CloudScout được xây dựng dựa trên gói CommonUtilities, cung cấp các thư viện cần thiết ở cấp độ thấp cho các module hoạt động, bao gồm: HTTPAccess – hàm xử lý kết nối giao thức HTTP; • ManagedCookie – hàm quản lý cookie cho các yêu cầu web giữa CloudScout và dịch vụ mục tiêu; Logger; SimpleJSON.

Dữ liệu được thu thập từ ba module – bao gồm danh sách thư mục thư, email (kèm theo tệp đính kèm), và các tệp có định dạng nhất định (.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pdf và .txt) – sẽ được nén thành file ZIP trước khi trích xuất thông qua MgBot hoặc Nightdoor. Những cơ chế bảo mật mới do Google phát hành, như Device Bound Session Credentials (DBSC) và App-Bound Encryption, dự kiến sẽ làm cho các mã độc dựa trên cookie trở nên lỗi thời.

Thông tin về nhóm tấn công Evasive Panda và bộ công cụ CloudScout được công bố trong bối cảnh chính phủ Canada cáo buộc một nhóm tấn công có liên quan đến Trung Quốc đã tiến hành các hoạt động do thám kéo dài nhiều tháng trên nhiều lĩnh vực tại quốc gia này.

Danh sách một số IoC được ghi nhận

Danh sách IoC sẽ được cập nhật liên tục tại https://alert.khonggianmang.vn/