Een overheidsinstantie en een religieuze organisatie in Taiwan waren het doelwit van een aan China gelieerde dreigingsacteur, bekend als Ontwijkende Panda die hen infecteerde met een voorheen ongedocumenteerde post-compromis-toolset met de codenaam CloudScout.
“De CloudScout-toolset is in staat gegevens uit verschillende clouddiensten op te halen door gebruik te maken van gestolen websessiecookies”, aldus ESET-beveiligingsonderzoeker Anh Ho. “Via een plug-in werkt CloudScout naadloos samen met MgBot, het kenmerkende malwareframework van Evasive Panda.”
Het gebruik van de op .NET gebaseerde malwaretool werd volgens het Slowaakse cyberbeveiligingsbedrijf ontdekt tussen mei 2022 en februari 2023. Het bevat 10 verschillende modules, geschreven in C#, waarvan er drie bedoeld zijn voor het stelen van gegevens uit Google Drive, Gmail en Outlook. Het doel van de overige modules blijft onbekend.
Evasive Panda, ook bekend als Bronze Highland, Daggerfly en StormBamboo, is een cyberspionagegroep met een trackrecord in het aanvallen van verschillende entiteiten in Taiwan en Hong Kong. Het staat ook bekend om het orkestreren van waterpoel- en supply chain-aanvallen gericht op de Tibetaanse diaspora.
Wat de dreigingsactor onderscheidt van de rest is het gebruik van verschillende initiële toegangsvectoren, variërend van nieuw onthulde beveiligingsfouten tot het compromitteren van de toeleveringsketen door middel van DNS-vergiftiging, om slachtoffernetwerken te doorbreken en MgBot en Nightdoor in te zetten.
ESET zei dat de CloudScout-modules zijn ontworpen om geverifieerde sessies in de webbrowser te kapen door de cookies te stelen en deze te gebruiken om ongeautoriseerde toegang te krijgen tot Google Drive, Gmail en Outlook. Elk van deze modules wordt ingezet door een MgBot-plug-in, geprogrammeerd in C++.
“De kern van CloudScout is het CommonUtilities-pakket, dat alle noodzakelijke low-level bibliotheken biedt waarmee de modules kunnen worden uitgevoerd”, legt Ho uit.
“CommonUtilities bevat nogal wat op maat geïmplementeerde bibliotheken, ondanks de overvloedige beschikbaarheid van vergelijkbare open-sourcebibliotheken online. Deze aangepaste bibliotheken geven de ontwikkelaars meer flexibiliteit en controle over de interne werking van hun implantaat, vergeleken met open-sourcealternatieven.”
Dit omvat –
- HTTPAccess, dat functies biedt voor het afhandelen van HTTP-communicatie
- ManagedCookie, dat functies biedt voor het beheren van cookies voor webverzoeken tussen CloudScout en de gerichte service
- Logger
- SimpelJSON
De informatie verzameld door de drie modules: mailmappenlijsten, e-mailberichten (inclusief bijlagen) en bestanden die overeenkomen met bepaalde extensies (.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pdf en .txt) – wordt gecomprimeerd in een ZIP-archief voor daaropvolgende exfiltratie door MgBot of Nightdoor.
Dat gezegd hebbende, zullen nieuwe beveiligingsmechanismen die door Google zijn geïntroduceerd, zoals Device Bound Session Credentials (DBSC) en App-Bound Encryption, malware die diefstal van cookies veroorzaakt, overbodig maken.
“CloudScout is een .NET-toolset die door Evasive Panda wordt gebruikt om gegevens te stelen die zijn opgeslagen in cloudservices”, zei Ho. “Het is geïmplementeerd als een uitbreiding op MgBot en gebruikt de pass-the-cookie-techniek om geverifieerde sessies van webbrowsers te kapen.”
De ontwikkeling komt op het moment dat de Canadese regering een ‘geavanceerde, door de staat gesponsorde dreigingsspeler’ uit China beschuldigde van het uitvoeren van maandenlange verkenningsinspanningen tegen talrijke domeinen in Canada.
“De meerderheid van de getroffen organisaties waarop het doelwit was, waren departementen en agentschappen van de Canadese overheid, waaronder federale politieke partijen, het Lagerhuis en de Senaat”, aldus het rapport in een verklaring.
“Ze richtten zich ook op tientallen organisaties, waaronder democratische instellingen, kritieke infrastructuur, de defensiesector, mediaorganisaties, denktanks en ngo’s.”