.



ESET ontdekt CloudScout: De Chinese Evasive Panda richt zich op Taiwan en gegevens die zijn opgeslagen in de cloud

ESET-Logo400300_Transparent

 

ESET-onderzoekers hebben een niet eerder gedocumenteerde toolset ontdekt die door de aan China gelieerde groep Evasive Panda wordt gebruikt om toegang te krijgen tot gegevens uit cloudservices zoals Google Drive, Gmail en Outlook en deze gegevens te exfiltreren. De toolset CloudScout werd van 2022 tot 2023 gebruikt om een overheidsinstantie en een religieuze organisatie in Taiwan aan te vallen. CloudScout is gericht op cyberspionage en kan gegevens ophalen uit verschillende cloudservices door gebruik te maken van gestolen cookies voor websessies.

Evasive Panda heeft drie voorheen onbekende .NET-modules ingezet die zijn ontworpen om toegang te krijgen tot publieke cloudservices door geauthenticeerde websessies te stelen. Deze techniek is gebaseerd op het stelen van cookies uit een webbrowser database en deze vervolgens te gebruiken in een specifieke set webverzoeken om toegang te krijgen tot cloudservices. In tegenstelling tot gestolen referenties, die kunnen worden geblokkeerd door beveiligingsfuncties zoals twee-factor authenticatie (2FA) en IP-tracking, stellen gestolen cookies voor websessies de aanvaller in staat om vanaf de machine van het slachtoffer gegevens op te vragen die in de cloud zijn opgeslagen. CloudScout is geïmplementeerd als uitbreiding op MgBot backdoor-plugins. Hard gecodeerde velden in CloudScout's webverzoeken voor het stelen van Outlook e-mailberichten suggereren dat de betreffende samples zijn gemaakt om Taiwanese gebruikers aan te vallen.

In mei 2022 werd het netwerk van een Taiwanese religieuze instelling gecompromitteerd met MgBot en Nightdoor. In dit incident werd MgBot gebruikt om een plugin te installeren die een CloudScout-module inzet. In februari 2023 werden CloudScout-modules en het Nightdoor-implantaat gedetecteerd bij wat, naar ons idee, een Taiwanese overheidsinstelling is. 

Na authenticatie bladeren de CloudScout-modules door de gecompromitteerde accounts van clouddiensten op een manier die lijkt op wat een gewone gebruiker zou doen in een webbrowser. Om dit te bereiken, is elke CloudScout-module uitgerust met een set vast gecodeerde webverzoeken om uit te voeren, samen met complexe HTML-parsers die de gewenste gegevens identificeren en extraheren uit de webreacties. De gegevens worden geëxfiltreerd en in de laatste stap doen de CloudScout-modules een volledige opschoning, waarbij alle artefacten worden verwijderd die tijdens de verzamelcyclus zijn gegenereerd, behalve de bestanden die worden geëxfiltreerd. Daarna sluiten ze af of gaan verder en wachten op een nieuw configuratiebestand om een nieuwe verzamelcyclus te starten.

Het professionele ontwerp achter het CloudScout-framework toont de technische capaciteiten van Evasive Panda en de belangrijke rol die in de cloud opgeslagen documenten, gebruikersprofielen en e-mail spelen in zijn spionageoperaties”, legt ESET-onderzoeker Anh Ho uit, die CloudScout ontdekte.

Evasive Panda (ook bekend als BRONZE HIGHLAND, Daggerfly of StormBamboo) is een aan China gelieerde APT-groep die minstens sinds 2012 actief is. Het doel van Evasive Panda is cyberspionage tegen landen en organisaties die zich verzetten tegen de belangen van China door middel van onafhankelijkheidsbewegingen zoals die in de Tibetaanse diaspora, religieuze en academische instellingen in Taiwan en Hongkong en voorstanders van democratie in China. ESET-onderzoekers hebben af en toe ook cyberspionage operaties gedetecteerd die zich uitstrekten naar landen als Vietnam, Myanmar en Zuid-Korea. Evasive Panda heeft een indrukwekkende lijst aanvalsvectoren verzameld. We hebben gezien hoe de operators geavanceerde TTP's uitvoeren, zoals supply-chain en watering-hole aanvallen en DNS hijacking.

Voor een meer gedetailleerde analyse en technische analyse van CloudScout, bekijk de laatste ESET Research blogpost “CloudScout: Evasive Panda scouting cloud services” op WeLiveSecurity.com. Zorg ervoor dat je ESET Research volgt op X voor het laatste nieuws.

Compromis keten waargenomen in het netwerk van een religieuze instelling in Taiwan

Meer over
Lees ook
T-Systems lanceert nieuwe securitydiensten

T-Systems lanceert nieuwe securitydiensten

T-Systems lanceert drie nieuwe securitydiensten gelanceerd. Het gaat om een digitale kluis voor de beveiliging van accounts van belangrijke gebruikers, een oplossing voor digitale handtekeningen vanuit de cloud en een reeks SOC-monitoringdiensten. Privileged Identity Protect Pro Accountgegevens van belangrijke gebruikers, zoals IT-managers en dat1

Microsoft heeft meeste NSA-exploits al gedicht

Microsoft heeft meeste NSA-exploits al gedicht

Opnieuw zijn verschillende hacktools, exploits en documenten van de NSA online gepubliceerd door de cybercrimegroepering Shadow Brokers. Ditmaal bevat de data onder andere een reeks exploits waarmee verschillende verouderde versies van het besturingssysteem Windows kunnen worden aangevallen. Microsoft meldt dat de meeste van deze exploits al zijn1

Een op de vijf organisaties is in 2016 getroffen door meer dan vijf cyberinbraken

Een op de vijf organisaties is in 2016 getroffen door meer dan vijf cyberinbraken

87% van de organisaties is in 2016 getroffen door een cyberinbraak. Bij één op de vijf organisaties werd in de afgelopen twaalf maanden zelfs meer dan vijf keer ingebroken door cybercriminelen. Dit blijkt uit onderzoek van databeveiliger Bitglass in samenwerking met CyberEdge Group en Information Security Community op LinkedIn onder 3.000 IT prof1