Une entité gouvernementale et une organisation religieuse à Taiwan ont été la cible d’un acteur menaçant lié à la Chine connu sous le nom de Panda évasif qui les a infectés avec un ensemble d’outils post-compromis jusqu’alors non documenté nommé CloudScout.
« L’ensemble d’outils CloudScout est capable de récupérer des données de divers services cloud en exploitant les cookies de session Web volés », Anh Ho, chercheur en sécurité chez ESET. dit. « Grâce à un plugin, CloudScout fonctionne de manière transparente avec MgBot, le framework de malware emblématique d’Evasive Panda. »
L’utilisation de l’outil malveillant basé sur .NET, selon la société slovaque de cybersécurité, a été détectée entre mai 2022 et février 2023. Il intègre 10 modules différents, écrits en C#, dont trois sont destinés au vol de données de Google Drive, Gmail. et Outlook. Le but des modules restants reste inconnu.
Evasive Panda, également suivi sous les noms de Bronze Highland, Daggerfly et StormBamboo, est un groupe de cyberespionnage qui a déjà frappé diverses entités à Taiwan et à Hong Kong. Il est également connu pour avoir orchestré des attaques contre les points d’eau et les chaînes d’approvisionnement ciblant la diaspora tibétaine.
Ce qui distingue l’acteur malveillant des autres est l’utilisation de plusieurs vecteurs d’accès initiaux, allant des failles de sécurité récemment révélées à la compromission de la chaîne d’approvisionnement au moyen d’un empoisonnement DNS, en passant par la violation des réseaux des victimes et le déploiement de MgBot et Nightdoor.
ESET a déclaré que les modules CloudScout sont conçus pour détourner les sessions authentifiées dans le navigateur Web en volant les cookies et en les utilisant pour obtenir un accès non autorisé à Google Drive, Gmail et Outlook. Chacun de ces modules est déployé par un plugin MgBot, programmé en C++.
« Au cœur de CloudScout se trouve le package CommonUtilities, qui fournit toutes les bibliothèques de bas niveau nécessaires à l’exécution des modules », a expliqué Ho.
« CommonUtilities contient un certain nombre de bibliothèques implémentées sur mesure malgré la disponibilité abondante de bibliothèques open source similaires en ligne. Ces bibliothèques personnalisées offrent aux développeurs plus de flexibilité et de contrôle sur le fonctionnement interne de leur implant, par rapport aux alternatives open source. »
Cela comprend –
- HTTPAccess, qui fournit des fonctions pour gérer les communications HTTP
- ManagedCookie, qui fournit des fonctions pour gérer les cookies pour les requêtes Web entre CloudScout et le service ciblé
- Enregistreur
- SimpleJSON
Les informations recueillies par les trois modules : listes de dossiers de courrier, messages électroniques (y compris les pièces jointes) et fichiers correspondant à certaines extensions (.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pdf et .txt) – est compressé dans une archive ZIP pour une exfiltration ultérieure par MgBot ou Nightdoor.
Cela dit, les nouveaux mécanismes de sécurité introduits par Google, tels que les informations d’identification de session liées aux appareils (DBSC) et le chiffrement lié aux applications, rendront inévitablement obsolètes les logiciels malveillants volant des cookies.
« CloudScout est un ensemble d’outils .NET utilisé par Evasive Panda pour voler des données stockées dans les services cloud », a déclaré Ho. « Il est implémenté comme une extension de MgBot et utilise la technique pass-the-cookie pour détourner les sessions authentifiées des navigateurs Web. »
Cette évolution survient alors que le gouvernement du Canada accuse un « acteur de menace sophistiqué parrainé par l’État » en provenance de Chine d’avoir mené de vastes efforts de reconnaissance s’étalant sur plusieurs mois contre de nombreux domaines au Canada.
« La majorité des organisations concernées étaient des ministères et organismes du gouvernement du Canada, notamment des partis politiques fédéraux, la Chambre des communes et le Sénat », précise-t-on. dit dans une déclaration.
« Ils ont également ciblé des dizaines d’organisations, notamment des institutions démocratiques, des infrastructures critiques, le secteur de la défense, des organisations médiatiques, des groupes de réflexion et des ONG. »