新たに文書化されたツールセット「CloudScout」は、高度持続的脅威(APT)グループEvasive Pandaによって開発され、台湾の機関を標的として侵入し、クラウドベースのデータを抽出していることが確認された。
ESETが発見した2022年から2023年にかけての攻撃は、CloudScoutがMgBotのプラグインによって盗まれたセッションクッキーを悪用し、直接の認証を必要とせずにGoogle Drive、Gmail、Outlookのアカウントへアクセスする手口を明らかにしている。
Evasive Pandaは、少なくとも2012年から活動している中国寄りのグループで、台湾におけるサイバー諜報活動に注力しており、過去には政府機関と宗教団体の双方を標的にしていた。
「Evasive Pandaは、印象的な数の攻撃ベクターを蓄積してきました。私たちは、サプライチェーン攻撃やウォータリングホール攻撃、DNSハイジャックといった高度なTTPをオペレーターが実行するのを確認しています。さらに、Microsoft Office、Confluence、Webサーバーアプリケーションに影響する最新のCVEも悪用してきました」とESETは説明した。
「同グループはマルウェア開発能力も高く、Windows、macOS、Android向けのマルチプラットフォーム・バックドアを深く取りそろえている点にそれが示されています。」
CloudScoutで確認された3つのモジュール(CGD、CGM、COL)はそれぞれ異なる目的を担う。CGDはGoogle Drive、CGMはGmail、COLはOutlookを標的とする。各モジュールは侵害されたクッキーを用いて二要素認証を回避し、クラウドに保存されたデータへ直接アクセスできるようにする。
CloudScoutの主な特徴は以下のとおり:
-
Evasive Pandaの主要マルウェア・フレームワークであるMgBotとのシームレスな統合
-
認証済みユーザーセッションをエミュレートして標的のクラウドサービスへアクセス
-
ユーザー資格情報なしでGoogle Drive、Gmail、Outlookからデータを自動抽出
クッキーベースのマルウェア攻撃について詳しく読む:新たなマルウェアWarmCookieが悪意のあるリンクでユーザーを標的に
CloudScoutの内部フレームワークは、モジュールがWebリクエストを確立するために必要なクッキーの設定、管理、復号など、複雑なタスクを処理できるよう設計されている。
CloudScoutのCommonUtilitiesパッケージは、HTTPリクエストとクッキー解析を管理することで動作を支援し、標的サービスごとに異なる構造にも適応できるようにしている。マルウェアは新しい設定ファイルをディレクトリで自律的に監視でき、データ抽出サイクルを開始し、各サイクル後に活動の痕跡を削除する。
研究者らは、CloudScoutが台湾のユーザー向けに設計されたと思われる標的型手法を用いていることを観測しており、これはモジュールに埋め込まれた言語設定や地域固有の構成によって示されている。
分析では、CloudScoutにはFacebookやTwitterなどのソーシャルメディアを標的とする追加モジュールが存在する可能性も示唆されているが、これらのモジュールは実運用での展開では未確認のままである。
翻訳元: https://www.infosecurity-magazine.com/news/evasive-panda-cloudscout-taiwan/
