ESET ontdekt CloudScout: De Chinese Evasive Panda richt zich op Taiwan en gegevens die zijn opgeslagen in de cloud

ESET-Logo400300_Transparent

 

ESET-onderzoekers hebben een niet eerder gedocumenteerde toolset ontdekt die door de aan China gelieerde groep Evasive Panda wordt gebruikt om toegang te krijgen tot gegevens uit cloudservices zoals Google Drive, Gmail en Outlook en deze gegevens te exfiltreren. De toolset CloudScout werd van 2022 tot 2023 gebruikt om een overheidsinstantie en een religieuze organisatie in Taiwan aan te vallen. CloudScout is gericht op cyberspionage en kan gegevens ophalen uit verschillende cloudservices door gebruik te maken van gestolen cookies voor websessies.

Evasive Panda heeft drie voorheen onbekende .NET-modules ingezet die zijn ontworpen om toegang te krijgen tot publieke cloudservices door geauthenticeerde websessies te stelen. Deze techniek is gebaseerd op het stelen van cookies uit een webbrowser database en deze vervolgens te gebruiken in een specifieke set webverzoeken om toegang te krijgen tot cloudservices. In tegenstelling tot gestolen referenties, die kunnen worden geblokkeerd door beveiligingsfuncties zoals twee-factor authenticatie (2FA) en IP-tracking, stellen gestolen cookies voor websessies de aanvaller in staat om vanaf de machine van het slachtoffer gegevens op te vragen die in de cloud zijn opgeslagen. CloudScout is geïmplementeerd als uitbreiding op MgBot backdoor-plugins. Hard gecodeerde velden in CloudScout's webverzoeken voor het stelen van Outlook e-mailberichten suggereren dat de betreffende samples zijn gemaakt om Taiwanese gebruikers aan te vallen.

In mei 2022 werd het netwerk van een Taiwanese religieuze instelling gecompromitteerd met MgBot en Nightdoor. In dit incident werd MgBot gebruikt om een plugin te installeren die een CloudScout-module inzet. In februari 2023 werden CloudScout-modules en het Nightdoor-implantaat gedetecteerd bij wat, naar ons idee, een Taiwanese overheidsinstelling is. 

Na authenticatie bladeren de CloudScout-modules door de gecompromitteerde accounts van clouddiensten op een manier die lijkt op wat een gewone gebruiker zou doen in een webbrowser. Om dit te bereiken, is elke CloudScout-module uitgerust met een set vast gecodeerde webverzoeken om uit te voeren, samen met complexe HTML-parsers die de gewenste gegevens identificeren en extraheren uit de webreacties. De gegevens worden geëxfiltreerd en in de laatste stap doen de CloudScout-modules een volledige opschoning, waarbij alle artefacten worden verwijderd die tijdens de verzamelcyclus zijn gegenereerd, behalve de bestanden die worden geëxfiltreerd. Daarna sluiten ze af of gaan verder en wachten op een nieuw configuratiebestand om een nieuwe verzamelcyclus te starten.

Het professionele ontwerp achter het CloudScout-framework toont de technische capaciteiten van Evasive Panda en de belangrijke rol die in de cloud opgeslagen documenten, gebruikersprofielen en e-mail spelen in zijn spionageoperaties”, legt ESET-onderzoeker Anh Ho uit, die CloudScout ontdekte.

Evasive Panda (ook bekend als BRONZE HIGHLAND, Daggerfly of StormBamboo) is een aan China gelieerde APT-groep die minstens sinds 2012 actief is. Het doel van Evasive Panda is cyberspionage tegen landen en organisaties die zich verzetten tegen de belangen van China door middel van onafhankelijkheidsbewegingen zoals die in de Tibetaanse diaspora, religieuze en academische instellingen in Taiwan en Hongkong en voorstanders van democratie in China. ESET-onderzoekers hebben af en toe ook cyberspionage operaties gedetecteerd die zich uitstrekten naar landen als Vietnam, Myanmar en Zuid-Korea. Evasive Panda heeft een indrukwekkende lijst aanvalsvectoren verzameld. We hebben gezien hoe de operators geavanceerde TTP's uitvoeren, zoals supply-chain en watering-hole aanvallen en DNS hijacking.

Voor een meer gedetailleerde analyse en technische analyse van CloudScout, bekijk de laatste ESET Research blogpost “CloudScout: Evasive Panda scouting cloud services” op WeLiveSecurity.com. Zorg ervoor dat je ESET Research volgt op X voor het laatste nieuws.

Compromis keten waargenomen in het netwerk van een religieuze instelling in Taiwan

Meer over
Lees ook
Zomercolumn: wij zijn niet interessant voor cybercriminelen

Zomercolumn: wij zijn niet interessant voor cybercriminelen

Hoewel het duidelijk is dat de cyberincidenten dagelijks toenemen, blijven sommige bedrijven en organisaties aarzelen of achterwege met het nemen van passende maatregelen. Er zijn verschillende redenen waarom ondernemingen ervoor kiezen om niet (voldoende) te investeren in cybersecurity, ondanks de groeiende dreigingen.

Redactie InfosecurityMagazine blikt terug op eerste editie van OrangeCon

Redactie InfosecurityMagazine blikt terug op eerste editie van OrangeCon

De afgelopen periode was de banner van OrangeCon duidelijk zichtbaar op de website van InfosecurityMagazine. Het kosteloos promoten van die bijeenkomst was een bewuste keuze. Nieuwe serieuze events, met een duidelijke focus op de Nederlandse markt, zijn meer dan welkom. Dit event was naast serieus ook nog eens een succes

Het Nederlandse ThreadStone viert tienjarig bestaan

Het Nederlandse ThreadStone viert tienjarig bestaan

ThreadStone Cyber Security bestaat tien jaar. Het Nederlandse cybersecuritybedrijf van het eerste uur heeft in die tien jaar veel zien veranderen, in de digitale wereld en binnen de eigen organisatie.