【样本分享】Evasive Panda利用CloudScout工具渗透台湾政府和宗教组织

安恒恒脑 2024-10-31 19:07:42 254人浏览

概要:

近期,ESET研究人员揭示了一个名为“CloudScout”的复杂网络间谍工具集,该工具由被称为Evasive Panda的高级持续威胁(APT)组织使用。该组织利用CloudScout获取敏感数据。

主要内容:

Evasive Panda通过CloudScout工具集,主要利用被盗的浏览器会话cookie,访问并窃取存储在Google Drive、Gmail和Outlook等流行云服务中的数据。ESET的报告指出,CloudScout利用由MgBot插件提供的被盗cookie,来访问和提取各种云服务中的数据。MgBot是与Evasive Panda相关的知名恶意软件框架,通过特定插件与CloudScout模块无缝集成,提供这些会话cookie。

研究人员检测到CloudScout的三个关键模块——CGD、CGM和COL,每个模块针对不同的云服务。CloudScout的模块化特性使其具有适应性,且每个模块均使用C#编写,专注于特定目标,部分模块可能正在开发中,以进一步扩展其影响力。ESET的分析表明,至少还有七个额外模块存在,暗示该工具集可能具备更广泛的能力。

CloudScout的隐蔽性在于其使用基于cookie的身份验证,能够绕过如双因素身份验证(2FA)等安全措施。通过劫持经过身份验证的网络会话,CloudScout模块能够像合法用户一样执行操作。这一技术特别有效,能够获取未授权访问的云存储数据,并进行窃取。ESET强调,随着对Evasive Panda最新能力的持续监测,开发如Google的设备绑定会话凭证和Chrome的应用绑定加密等新防御措施显得尤为重要,以应对基于cookie的入侵。

APT 数据泄露 政府部门 宗教组织
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。