.



ESET ontdekt CloudScout: De Chinese Evasive Panda richt zich op Taiwan en gegevens die zijn opgeslagen in de cloud

ESET-Logo400300_Transparent

 

ESET-onderzoekers hebben een niet eerder gedocumenteerde toolset ontdekt die door de aan China gelieerde groep Evasive Panda wordt gebruikt om toegang te krijgen tot gegevens uit cloudservices zoals Google Drive, Gmail en Outlook en deze gegevens te exfiltreren. De toolset CloudScout werd van 2022 tot 2023 gebruikt om een overheidsinstantie en een religieuze organisatie in Taiwan aan te vallen. CloudScout is gericht op cyberspionage en kan gegevens ophalen uit verschillende cloudservices door gebruik te maken van gestolen cookies voor websessies.

Evasive Panda heeft drie voorheen onbekende .NET-modules ingezet die zijn ontworpen om toegang te krijgen tot publieke cloudservices door geauthenticeerde websessies te stelen. Deze techniek is gebaseerd op het stelen van cookies uit een webbrowser database en deze vervolgens te gebruiken in een specifieke set webverzoeken om toegang te krijgen tot cloudservices. In tegenstelling tot gestolen referenties, die kunnen worden geblokkeerd door beveiligingsfuncties zoals twee-factor authenticatie (2FA) en IP-tracking, stellen gestolen cookies voor websessies de aanvaller in staat om vanaf de machine van het slachtoffer gegevens op te vragen die in de cloud zijn opgeslagen. CloudScout is geïmplementeerd als uitbreiding op MgBot backdoor-plugins. Hard gecodeerde velden in CloudScout's webverzoeken voor het stelen van Outlook e-mailberichten suggereren dat de betreffende samples zijn gemaakt om Taiwanese gebruikers aan te vallen.

In mei 2022 werd het netwerk van een Taiwanese religieuze instelling gecompromitteerd met MgBot en Nightdoor. In dit incident werd MgBot gebruikt om een plugin te installeren die een CloudScout-module inzet. In februari 2023 werden CloudScout-modules en het Nightdoor-implantaat gedetecteerd bij wat, naar ons idee, een Taiwanese overheidsinstelling is. 

Na authenticatie bladeren de CloudScout-modules door de gecompromitteerde accounts van clouddiensten op een manier die lijkt op wat een gewone gebruiker zou doen in een webbrowser. Om dit te bereiken, is elke CloudScout-module uitgerust met een set vast gecodeerde webverzoeken om uit te voeren, samen met complexe HTML-parsers die de gewenste gegevens identificeren en extraheren uit de webreacties. De gegevens worden geëxfiltreerd en in de laatste stap doen de CloudScout-modules een volledige opschoning, waarbij alle artefacten worden verwijderd die tijdens de verzamelcyclus zijn gegenereerd, behalve de bestanden die worden geëxfiltreerd. Daarna sluiten ze af of gaan verder en wachten op een nieuw configuratiebestand om een nieuwe verzamelcyclus te starten.

Het professionele ontwerp achter het CloudScout-framework toont de technische capaciteiten van Evasive Panda en de belangrijke rol die in de cloud opgeslagen documenten, gebruikersprofielen en e-mail spelen in zijn spionageoperaties”, legt ESET-onderzoeker Anh Ho uit, die CloudScout ontdekte.

Evasive Panda (ook bekend als BRONZE HIGHLAND, Daggerfly of StormBamboo) is een aan China gelieerde APT-groep die minstens sinds 2012 actief is. Het doel van Evasive Panda is cyberspionage tegen landen en organisaties die zich verzetten tegen de belangen van China door middel van onafhankelijkheidsbewegingen zoals die in de Tibetaanse diaspora, religieuze en academische instellingen in Taiwan en Hongkong en voorstanders van democratie in China. ESET-onderzoekers hebben af en toe ook cyberspionage operaties gedetecteerd die zich uitstrekten naar landen als Vietnam, Myanmar en Zuid-Korea. Evasive Panda heeft een indrukwekkende lijst aanvalsvectoren verzameld. We hebben gezien hoe de operators geavanceerde TTP's uitvoeren, zoals supply-chain en watering-hole aanvallen en DNS hijacking.

Voor een meer gedetailleerde analyse en technische analyse van CloudScout, bekijk de laatste ESET Research blogpost “CloudScout: Evasive Panda scouting cloud services” op WeLiveSecurity.com. Zorg ervoor dat je ESET Research volgt op X voor het laatste nieuws.

Compromis keten waargenomen in het netwerk van een religieuze instelling in Taiwan

Meer over
Lees ook
ESET Threat Intelligence verbetert cybersecurity-inzicht door integratie met Elastic Security

ESET Threat Intelligence verbetert cybersecurity-inzicht door integratie met Elastic Security

ESET heeft een nieuw partnerschap en integratie aangekondigd, dankzij zijn uniforme API-gateway. Deze ontwikkeling faciliteert naadloze verbindingen met verschillende leveranciers van cybersecurity, zoals de recente integratie met Elastic, een search-powered AI-bedrijf.

Verizon Business publiceert 17e Data Breach Investigations Report (DBIR)

Verizon Business publiceert 17e Data Breach Investigations Report (DBIR)

Verizon Business maakt de resultaten van zijn 17e jaarlijkse Data Breach Investigations Report (DBIR) bekend. Hierin zijn 8302 securityincidenten in Europa, het Midden-Oosten en Afrika (EMEA) geanalyseerd, waarvan 6005 (meer dan 72%) bevestigde inbreuken.

Op jacht naar de heilige graal: Generative AI versus Applied AI

Op jacht naar de heilige graal: Generative AI versus Applied AI

In deze blog gaan we in op de verschillen tussen generative AI en applied AI. Wat zijn nu eigenlijk de voor-en nadelen van generative AI en wanneer kan je beter kiezen voor applied AI? Het zal je niet verbazen: niet elke omgeving is geschikt voor generative AI.