中国ハッカー Evasive Panda:CloudScout を使用してセッション・クッキーを窃取

Chinese Hackers Use CloudScout Toolset to Steal Session Cookies from Cloud Services

2024/10/28 TheHackerNews — 中国の脅威アクター Evasive Panda に標的とされた台湾の政府機関と宗教団体が、未知のポスト・コンプロマイズ・ツールセットである、CloudScout という名の文書化されていないマルウェアに感染したことが判明した。ESET のセキュリティ研究者である Anh Ho は、「CloudScout ツールセットは、盗み出された Web セッション・クッキーを悪用することで、様々なクラウド・サービスからデータを取得している。さらに、Evasive Panda の代表的なマルウェア・フレームワークである MgBot と、プラグインを介してシームレスに連携する」と説明している。

ESET によると、この .NET ベースのマルウェア・ツールの活動は、2022年5月〜2023年2月に検出されたという。このツールには、C# で書かれた 10種類のモジュールが組み込まれており、そのうちの3つは Google Drive/Gmail/Outlook からのデータ窃取を目的としている。残りのモジュールの目的は、現時点では不明だという。

サイバースパイ・グループの1つである Evasive Panda (別名:Bronze Highland/Daggerfly/StormBamboo) には、台湾と香港の様々な組織を攻撃してきた過去がある。さらに、同グループは、チベット系のディアスポラを標的としる、水飲み場攻撃やサプライチェーン攻撃を展開したことでも知られている。

Evasive Panda の特徴は、新たに公表されるセキュリティ脆弱性から、DNS ポイズニングによるサプライチェーン侵害に至るまでの、多種多様なイニシャル・アクセス・ベクターを用いて被害者のネットワークに侵入し、MgBot と Nightdoor を展開している点である。

ESET によると、CloudScout モジュールはクッキーを盗み出し、それを悪用することで Google Drive/Gmail/Outlook に不正アクセスし、Web ブラウザの認証済みセッションを乗っ取るよう設計されている。それらのモジュールは、C++ でプログラムされた MgBot プラグインにより展開されるという。

ESET の Anh Ho は、「CloudScout の中核となるのは、CommonUtilities パッケージであり、それぞれのモジュールを実行するために必要とされる、すべての低レベル・ライブラリを提供している。同様のオープンソース・ライブラリが、オンラインで豊富に利用できる状況にあるが、CommonUtilities には相当数のカスタム実装ライブラリが取り込まれている。これらのカスタム・ライブラリは、オープンソースの代替品と比べて、インプラントの内部動作に柔軟性と制御力を与える」と詳述する。

CommonUtilities には、以下の機能が含まれる:

  • HTTP 通信を処理する HTTPAccess
  • CloudScout と対象サービス間の Web リクエスト用に、クッキーを管理機能を提供する ManagedCookie
  • Logger
  • SimpleJSON

3つのモジュールにより収集された情報である、メールフォルダの一覧、および、電子メールと添付ファイル、そして、特定の拡張子 (.doc/.docx/.xls/.xlsx/.ppt/.pptx/.pdf/.txt) に一致するファイルは、ZIP アーカイブに圧縮された後に、MgBot/Nightdoor により外部へと流出していく。

しかし、Google  が導入した新しいセキュリティ・メカニズムである、Device Bound Session Credentials (DBSC)App-Bound Encryption などにより、Cookie 窃取マルウェアは時代遅れになるはずだ。

Anh Ho は、「CloudScout は、クラウド・サービスに保存されたデータを盗むために、Evasive Panda が使用する .NET ツールセットである。MgBot の拡張機能として実装され、pass-the-cookie 技術を使用し、Web ブラウザから認証済みセッションを乗っ取っていく」と述べている。

中国からの高度な国家支援を受けた脅威アクターが、カナダの多数のドメインに対して数ヶ月にわたる広範な偵察活動を行っていると、同政府が批判している。カナダ政府の声明は、「標的とされた組織の大半は、カナダ政府の省庁および機関であり、そこには連邦政党/下院/上院も含まれている。また、重要インフラ/防衛部門/メディア機関/シンクタンク/人権組織/NGO などの、数十の組織も標的となった」と指摘している。

この Evasive Panda ですが、外部のツールなどに依存することなく、自身で開発していくというポリシーを持っているようです。そのためのコストは、然るべきところから調達されているのでしょう。なかなか、手強い脅威アクターですね。よろしければ、Evasive Panda で検索を、ご参照ください。