Tayvan’daki bir hükümet kuruluşu ve dini bir kuruluş, Çin bağlantılı bir tehdit aktörünün hedefiydi. Kaçan Panda onlara CloudScout kod adlı daha önce belgelenmemiş bir uzlaşma sonrası araç seti bulaştırdı.
ESET güvenlik araştırmacısı Anh Ho, “CloudScout araç seti, çalınan web oturumu çerezlerinden yararlanarak çeşitli bulut hizmetlerinden veri alma kapasitesine sahiptir.” söz konusu. “Bir eklenti aracılığıyla CloudScout, Evasive Panda’nın imzalı kötü amaçlı yazılım çerçevesi MgBot ile sorunsuz bir şekilde çalışıyor.”
Slovak siber güvenlik şirketi tarafından .NET tabanlı kötü amaçlı yazılım aracının kullanıldığı, Mayıs 2022 ile Şubat 2023 arasında tespit edildi. Araç, C# ile yazılmış 10 farklı modül içeriyor; bunlardan üçü Google Drive ve Gmail’den veri çalmak için kullanılıyor. ve Outlook’u seçin. Geri kalan modüllerin amacı bilinmiyor.
Bronze Highland, Daggerfly ve StormBamboo olarak da takip edilen Evasive Panda, Tayvan ve Hong Kong’da çeşitli varlıkları vurma konusunda geçmişi olan bir siber casusluk grubudur. Aynı zamanda Tibet diasporasını hedef alan sulama kanalı ve tedarik zinciri saldırılarını düzenlemesiyle de tanınıyor.
Tehdit aktörünü diğerlerinden ayıran şey, yeni açıklanan güvenlik kusurlarından DNS zehirlenmesi yoluyla tedarik zincirinin tehlikeye atılmasına, kurban ağlarının ihlal edilmesine ve MgBot ve Nightdoor’un konuşlandırılmasına kadar çeşitli başlangıç erişim vektörlerinin kullanılmasıdır.
ESET, CloudScout modüllerinin, çerezleri çalarak ve bunları Google Drive, Gmail ve Outlook’a yetkisiz erişim elde etmek için kullanarak web tarayıcısındaki kimliği doğrulanmış oturumları ele geçirmek üzere tasarlandığını söyledi. Bu modüllerin her biri, C++ dilinde programlanmış bir MgBot eklentisi tarafından dağıtılır.
Ho, “CloudScout’un kalbinde, modüllerin çalışması için gerekli tüm alt düzey kitaplıkları sağlayan CommonUtilities paketi yer alıyor” diye açıkladı.
“CommonUtilities, çevrimiçi olarak benzer açık kaynaklı kitaplıkların bol miktarda bulunmasına rağmen, özel olarak uygulanmış çok sayıda kitaplık içeriyor. Bu özel kitaplıklar, geliştiricilere, açık kaynak alternatifleriyle karşılaştırıldığında, implantlarının iç işleyişi üzerinde daha fazla esneklik ve kontrol sağlıyor.”
Bu şunları içerir:
- HTTP iletişimlerini yönetmeye yönelik işlevler sağlayan HTTPAccess
- CloudScout ile hedeflenen hizmet arasındaki web istekleri için çerezleri yönetmeye yönelik işlevler sağlayan ManagedCookie
- Kaydedici
- SimpleJSON
Üç modül tarafından toplanan bilgiler – posta klasörü listeleri, e-posta mesajları (ekler dahil) ve belirli uzantılarla eşleşen dosyalar (.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pdf ve .txt) – MgBot veya Nightdoor tarafından daha sonra sızdırılmak üzere bir ZIP arşivine sıkıştırılır.
Bununla birlikte, Google tarafından sunulan Cihaza Bağlı Oturum Kimlik Bilgileri (DBSC) ve Uygulamaya Bağlı Şifreleme gibi yeni güvenlik mekanizmalarının, çerez hırsızlığı yapan kötü amaçlı yazılımları geçersiz kılacağı kesindir.
Ho, “CloudScout, Evasive Panda tarafından bulut hizmetlerinde depolanan verileri çalmak için kullanılan bir .NET araç setidir” dedi. “MgBot’un bir uzantısı olarak uygulanıyor ve web tarayıcılarından kimliği doğrulanmış oturumları ele geçirmek için çerezi geçirme tekniğini kullanıyor.”
Bu gelişme, Kanada Hükümeti’nin Çin’den “devlet destekli gelişmiş bir tehdit aktörünü” Kanada’daki çok sayıda alana karşı birkaç ay süren geniş keşif çalışmaları yürütmekle suçlamasıyla ortaya çıktı.
“Hedef alınan kuruluşların çoğunluğu Kanada Hükümeti departmanları ve kurumlarıydı ve federal siyasi partiler, Avam Kamarası ve Senato da dahildi.” söz konusu bir açıklamada.
“Aynı zamanda aralarında demokratik kurumlar, kritik altyapılar, savunma sektörü, medya kuruluşları, düşünce kuruluşları ve STK’ların da bulunduğu onlarca kuruluşu da hedef aldılar.”