VietNetwork.Vn

Một cơ quan chính phủ và một tổ chức tôn giáo ở Đài Loan là mục tiêu của một tác nhân đe dọa có liên hệ với Trung Quốc có tên là Evasive Panda, đã lây nhiễm cho họ một bộ công cụ xâm phạm chưa từng được ghi chép trước đây có tên mã là CloudScout.

"Bộ công cụ CloudScout có khả năng truy xuất dữ liệu từ nhiều dịch vụ đám mây khác nhau bằng cách tận dụng cookie phiên web bị đánh cắp", nhà nghiên cứu bảo mật Anh Ho của ESET cho biết. "Thông qua một plugin, CloudScout hoạt động liền mạch với MgBot, khuôn khổ phần mềm độc hại đặc trưng của Evasive Panda".


Theo công ty an ninh mạng Slovakia, việc sử dụng công cụ phần mềm độc hại dựa   Đăng nhập để xem liên kết đã được phát hiện trong khoảng thời gian từ tháng 5 năm 2022 đến tháng 2 năm 2023. Công cụ này kết hợp 10 mô-đun khác nhau, được viết bằng C#, trong đó có ba mô-đun dùng để đánh cắp dữ liệu từ Google Drive, Gmail và Outlook. Mục đích của các mô-đun còn lại vẫn chưa được biết.

Evasive Panda, còn được gọi là Bronze Highland, Daggerfly và StormBamboo, là một nhóm gián điệp mạng có thành tích tấn công nhiều thực thể khác nhau trên khắp Đài Loan và Hồng Kông. Nhóm này cũng được biết đến với việc chỉ đạo các cuộc tấn công vào các lỗ hổng và chuỗi cung ứng nhắm vào cộng đồng người Tây Tạng lưu vong.

Điểm khác biệt giữa kẻ tấn công này với những kẻ còn lại là chúng sử dụng nhiều phương thức truy cập ban đầu, từ các lỗ hổng bảo mật mới được tiết lộ cho đến xâm phạm chuỗi cung ứng bằng cách đầu độc DNS, xâm phạm mạng của nạn nhân và triển khai MgBot và Nightdoor.

ESET cho biết các mô-đun CloudScout được thiết kế để chiếm đoạt các phiên đã xác thực trong trình duyệt web bằng cách đánh cắp cookie và sử dụng chúng để truy cập trái phép vào Google Drive, Gmail và Outlook. Mỗi mô-đun này được triển khai bởi một plugin MgBot, được lập trình bằng C++.

"Trọng tâm của CloudScout là gói CommonUtilities, cung cấp tất cả các thư viện cấp thấp cần thiết để các mô-đun chạy", Ho giải thích.

"CommonUtilities chứa khá nhiều thư viện được triển khai tùy chỉnh mặc dù có rất nhiều thư viện mã nguồn mở tương tự trực tuyến. Các thư viện tùy chỉnh này cung cấp cho các nhà phát triển nhiều sự linh hoạt và khả năng kiểm soát hơn đối với hoạt động bên trong của phần mềm cấy ghép của họ, so với các giải pháp thay thế mã nguồn mở."

Điều này bao gồm -

• HTTPAccess, cung cấp các chức năng để xử lý các giao tiếp HTTP
• ManagedCookie, cung cấp các chức năng để quản lý cookie cho các yêu cầu web giữa CloudScout và dịch vụ mục tiêu
• Người ghi nhật ký
• SimpleJSON

Thông tin thu thập được bởi ba mô-đun – danh sách thư mục thư, tin nhắn email (bao gồm tệp đính kèm) và các tệp khớp với phần mở rộng nhất định (.doc,.docx,.xls,.xlsx,.ppt,.pptx,.pdf và.txt) – được nén vào kho lưu trữ ZIP để MgBot hoặc Nightdoor trích xuất sau đó.

Tuy nhiên, các cơ chế bảo mật mới do Google giới thiệu như Device Bound Session Credentials ( DBSC ) và App-Bound Encryption chắc chắn sẽ khiến phần mềm độc hại đánh cắp cookie trở nên lỗi thời.


"CloudScout là một bộ công cụ .NET được Evasive Panda sử dụng để đánh cắp dữ liệu được lưu trữ trong các dịch vụ đám mây", Ho cho biết. "Nó được triển khai như một phần mở rộng của MgBot và sử dụng kỹ thuật pass-the-cookie để chiếm đoạt các phiên đã xác thực từ trình duyệt web".

Sự việc diễn ra trong bối cảnh Chính phủ Canada cáo buộc một "tác nhân đe dọa tinh vi do nhà nước tài trợ" từ Trung Quốc đã tiến hành các hoạt động do thám rộng rãi kéo dài nhiều tháng nhằm vào nhiều tên miền ở Canada.

"Phần lớn các tổ chức bị ảnh hưởng là các bộ và cơ quan của Chính phủ Canada, bao gồm các đảng phái chính trị liên bang, Hạ viện và Thượng viện", tuyên bố cho biết.

"Họ cũng nhắm vào hàng chục tổ chức, bao gồm các tổ chức dân chủ, cơ sở hạ tầng quan trọng, lĩnh vực quốc phòng, các tổ chức truyền thông, nhóm nghiên cứu và các tổ chức phi chính phủ."