CloudScout атакует Тайвань: как сессии Gmail и Outlook стали разменной монетой в руках хакеров

В Тайване правительственная структура и религиозная организация стали жертвами хакерской группы Evasive Panda, связанной с Китаем. Злоумышленники использовали неизвестный ранее набор инструментов CloudScout, предназначенный для компрометации облачных сервисов.

CloudScout использует украденные сессионные куки веб-браузеров для доступа к данным в облаке. По данным специалистов ESET , он интегрирован с известной вредоносной платформой MgBot , которая применяется Evasive Panda для атак.

Рассмотренные атаки происходили с мая 2022 года по февраль 2023 года. Вредоносный набор включает 10 модулей на языке C#, три из которых нацелены на кражу данных из Google Drive , Gmail и Outlook . Остальные модули остаются нераскрытыми.

Группировка Evasive Panda, также известная как Bronze Highland, Daggerfly и StormBamboo, регулярно атакует цели в Тайване и Гонконге. Хакеры известны атаками через уязвимости в цепочке поставок и DNS-подмены, нацеливаясь на тибетскую диаспору и другие группы.

Модули CloudScout позволяют перехватывать сессионные куки и использовать их для несанкционированного доступа к облачным сервисам. Каждый модуль подключается через плагин для MgBot, написанный на C++.

Основой CloudScout служит пакет CommonUtilities, содержащий уникальные библиотеки для HTTP-запросов и управления куки. Эти библиотеки обеспечивают большую гибкость по сравнению с общедоступными решениями.

Собранные злоумышленниками данные, включая письма, вложения и документы (.doc, .xls, .pdf и др.), архивируются в ZIP-файлы для дальнейшей отправки через MgBot или Nightdoor.

Схема атак с использованием CloudScout

Как сообщают исследователи ESET, внедрение новых защитных механизмов Google, таких как Device Bound Session Credentials и App-Bound Encryption, способно существенно снизить эффективность подобных атак с кражей куки.

В эпоху тотальной цифровизации даже самые защищённые системы становятся уязвимыми перед лицом целенаправленных кибератак. Хакерские группировки непрерывно совершенствуют свои инструменты, находя новые способы обхода существующих механизмов безопасности, что требует от организаций постоянной бдительности и внедрения многоуровневых систем защиты данных.