駭客組織 Evasive Panda 的活動主要針對台灣、香港等地的各類目標
台灣的一個政府機構和宗教組織早前曾遭到與中國有關聯的 APT (進階持續性威脅) 組織「Evasive Panda」攻擊,該組織使用一套代號為「CloudScout」的全新入侵後 (post-compromise) 工具組進行滲透。
電腦安全軟體公司 ESET 安全研究員 Anh Ho表示,CloudScout 工具組能夠利用竊取的網路工作階段 (web session) cookie 來從不同的雲端服務獲取資料。透過外掛程式,CloudScout 更能與 Evasive Panda 的代表性惡意軟體框架「MgBot」,進行天衣無縫的搭配運作。
根據 ESET 的發現,這個基於 .NET 的惡意軟體工具是在 2022 年 5 月至 2023 年 2 月期間被偵測到,其中包含 10 個不同的模組,主要以 C# 程式編寫,其中三個模組專門用於從 Google Drive、Gmail 和 Outlook 之中竊取資料。
「Evasive Panda」,又稱「Bronze Highland」、「Daggerfly」和「StormBamboo」,是一個專門進行網路間諜活動的組織,自2012年以來陸續被發現其活動,主要針對台灣、香港等地的各類目標,並且以對西藏流亡組織發動「水坑攻擊」(watering-hole attack)和供應鏈攻擊而聲名大噪。
ESET解釋道:「Evasive Panda一路以來積累了多樣化的攻擊手法。我們觀察到該組織運用了像是供應鏈攻擊、水坑攻擊以及DNS劫持 (DNS hijacking) 等複雜技術,同時也利用了針對Microsoft Office、Confluence及網路伺服器應用程式的最新CVE漏洞。」
「該組織也展現了極強大的惡意軟體開發能力,這方面特別體現於他們一系列適用於Windows、macOS及Android平台上的後門程式(backdoors)。」
CloudScout之中已辨識的三個模組——CGD、CGM及COL——各有不同的用途:CGD針對Google Drive,CGM針對Gmail,而COL則是以Outlook 為目標。每個模組皆是利用盜取的Cookie繞過雙重身份驗證,以便能直接存取雲端儲存的資料。
CloudScout的主要功能包括:
- 無縫整合 Evasive Panda 的主要惡意軟體框架 MgBot。
- 透過模仿已驗證的 user session (伺服器上儲存的使用者操作的資訊) 來存取目標雲端服務。
- 無需使用者憑證,就能自動地從 Google Drive、Gmail 及 Outlook 中提取資料。
CloudScout的內部框架經過精密設計,能夠執行複雜的任務,包括調整組態 (configuring)、管理以及解密各模組所需的Cookie,以建立網路請求。
CloudScout的CommonUtilities套裝軟體也讓其運作更加地順利,這個套裝軟體負責管理HTTP請求以及Cookie語法解析,使這個工具能適應各個標的服務的不同結構。此惡意軟體能夠自動地監控目錄中是否有新的組態設定檔,並觸發資料提取循環,並在每個循環後即刪除掉之前的活動痕跡。
研究人員也觀察到,CloudScout採用了專門針對台灣用戶的特定手法,這可從其模組內嵌的語言偏好及區域特定設置中看出端倪。
分析還指出,CloudScout可能還具備額外的模組,目標鎖定Facebook以及Twitter等社群媒體,雖然現階段這些模組並未在活動部署中被發現。
Evasive Panda駭客組織相關的部分的入侵指標(IOCs):
| be17d056039267973e36043c678a5d56 |
| c02b6a7cc4f4da2d6956049b90ff53ba |
| 4a5bcdaac0bc315edd00bb1fccd1322737bcbeeb |
| 621e2b50a979d77ba3f271fab94326cccbc009b4 |
| 67028aeb095189fdf18b2d7b775b62366ef224a9 |
| 84f6b9f13cdcd8d9d15d5820536bc878cd89b3c8 |
| 93c1c8ad2af64d0e4c132f067d369ecbebae00b7 |
| b3556d1052bf5432d39a6068ccf00d8c318af146 |
| c058f9fe91293040c8b0908d3dafc80f89d2e38b |
| 73d50eabd0b377e22210490a06ecf2441191558d97ce14ba79517c0e7696318b |