Çin sponsorluğundaki Evasive Panda bilgisayar korsanlığı ekibi, çalınan Web oturumu çerezlerinden yararlanarak çeşitli bulut hizmetlerinden veri alan şık, profesyonel bir uzlaşma sonrası araç seti olan CloudScout’u piyasaya sürdü.
Bu, CloudScout’u Tayvan’da (dini bir kurumu ve bir devlet kurumunu hedef alan) geçmişteki bir çift ihlali araştırırken ortaya çıkaran ESET’teki araştırmacılara göre böyle.
CloudScout .NET’te yazılmıştır ve Evasive Panda’nın tescilli kötü amaçlı yazılım çerçevesi MgBot ile sorunsuz çalışacak şekilde tasarlanmıştır. Bir eklenti mimarisi aracılığıyla MgBot, CloudScout’a önceden çalınan çerezleri besler; daha sonra bunları, Web tarayıcılarından kimliği doğrulanmış oturumları ele geçirmek için çerezi geçirme tekniğini kullanarak buluttaki verilere erişmek ve verilere sızmak için kullanır.
ESET araştırmacıları Google Drive, Gmail ve Outlook’u hedef alan bireysel CloudScout modüllerini gözlemlediler ancak toplamda Evasive Panda’nın en az 10 farklı bulut uygulamasına yönelik saldırılar için modüller geliştirdiğine inanıyorlar.
“Bu modüller, kimliği doğrulanmış Web oturumlarını ele geçirerek genel bulut hizmetlerine erişmek için tasarlandı.” ESET’in analizine göre28 Ekim’de yayınlandı. “Bu teknik, bir Web tarayıcısı veritabanından çerezlerin çalınmasına, ardından bunların bulut hizmetlerine erişim kazanmak için belirli bir Web istekleri kümesinde kullanılmasına dayanır.” Böylece iki faktörlü kimlik doğrulama (2FA) gibi kimlik doğrulama kontrollerinden kaçınılır. ve IP takibi.
Kimlik doğrulamanın ardından CloudScout modülleri, e-posta klasörü listeleri ve e-posta mesajları gibi Web yanıtlarından ilgi çekici verileri tanımlamak ve çıkarmak için bir dizi sabit kodlanmış Web isteğinin yanı sıra karmaşık HTML ayrıştırıcılarını kullanır. Veriler toplandıktan sonra bir .zip arşivine sıkıştırılır ve bu arşiv daha sonra MgBot veya Nightdoor adı verilen başka bir özel arka kapı tarafından dışarı sızdırılabilir.
Çin APT Siber Casusluk Arsenal’ini Geliştiriyor
Kaçamak Panda (diğer adıyla Bronze Highland, Daggerfly veya StormBamboo), en az 2012’den beri faaliyet gösteren ve esas olarak sivil toplum hedeflerine yönelik siber casusluğa odaklanan gelişmiş bir kalıcı tehdittir (APT).
Bunlar arasında “Tibet diasporasındakiler gibi bağımsızlık hareketleri, Tayvan’daki dini ve akademik kurumlar ESET araştırmacıları, “Zaman zaman siber casusluk operasyonlarının Vietnam, Myanmar ve Güney Kore gibi ülkeleri de kapsadığını gözlemledik.” Ayrıca birkaç ülkeyi de hedef aldığı görüldü. Nijerya’daki kurbanlar.
Çin APT’si tutarlı bir şekilde biliniyor Siber saldırı tekniklerini geliştiriyorancak araştırmacılar, son yinelemenin karmaşıklığı açısından dikkate değer olduğunu yazdı.
ESET’e göre, “CloudScout çerçevesinin arkasındaki profesyonel tasarım… Evasive Panda’nın teknik yeteneklerini ve bulutta depolanan belgelerin, kullanıcı profillerinin ve e-postanın casusluk operasyonlarında oynadığı önemli rolleri gösteriyor.”