Sebuah organisasi pemerintah dan lembaga keagamaan di Taiwan menjadi sasaran serangan siber dari Evasive Panda, aktor ancaman yang terkait dengan China. Evasive Panda menginfeksi mereka dengan alat post-compromise yang belum pernah didokumentasikan sebelumnya, yang diberi kode nama CloudScout.
“Alat CloudScout mampu mengambil data dari berbagai layanan cloud dengan memanfaatkan cookie sesi web yang dicuri," ujar Anh Ho, peneliti keamanan di ESET. "Melalui plugin, CloudScout bekerja secara mulus dengan MgBot, kerangka kerja malware khas Evasive Panda."
Penggunaan alat malware berbasis .NET ini, menurut perusahaan keamanan Slovakia, terdeteksi antara Mei 2022 dan Februari 2023. Alat ini terdiri dari 10 modul berbeda, ditulis dalam C#, di mana tiga di antaranya ditujukan untuk mencuri data dari Google Drive, Gmail, dan Outlook. Tujuan dari modul lainnya masih belum diketahui.
Evasive Panda, yang juga dikenal sebagai Bronze Highland, Daggerfly, dan StormBamboo, adalah kelompok mata-mata siber yang memiliki catatan serangan terhadap berbagai entitas di Taiwan dan Hong Kong. Mereka juga dikenal karena mengorganisir serangan watering hole dan supply chain yang menargetkan diaspora Tibet.
Yang membedakan aktor ancaman ini dari yang lain adalah penggunaan beberapa vektor akses awal, mulai dari celah keamanan yang baru diungkapkan hingga kompromi rantai pasokan melalui pemalsuan DNS, untuk membocorkan jaringan korban dan menyebarkan MgBot dan Nightdoor.
ESET menyatakan bahwa modul CloudScout dirancang untuk membajak sesi yang diautentikasi di browser web dengan mencuri cookie dan menggunakannya untuk mendapatkan akses tidak sah ke Google Drive, Gmail, dan Outlook. Setiap modul ini disebarkan oleh plugin MgBot, yang diprogram dalam C++.
“Di jantung CloudScout adalah paket CommonUtilities, yang menyediakan semua library tingkat rendah yang diperlukan agar modul dapat berjalan," jelas Ho.
"CommonUtilities berisi cukup banyak library yang diterapkan khusus meskipun tersedia banyak library open-source yang serupa secara online. Library khusus ini memberikan fleksibilitas dan kontrol yang lebih besar kepada pengembang atas cara kerja internal implant mereka, dibandingkan dengan alternatif open-source."
Ini termasuk:
HTTPAccess, yang menyediakan fungsi untuk menangani komunikasi HTTP
ManagedCookie, yang menyediakan fungsi untuk mengelola cookie untuk permintaan web antara CloudScout dan layanan yang ditargetkan
Logger
SimpleJSON
Informasi yang dikumpulkan oleh tiga modul – daftar folder surat, pesan email (termasuk lampiran), dan file yang cocok dengan ekstensi tertentu (.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pdf, dan .txt) – dikompres menjadi arsip ZIP untuk selanjutnya diekstraksi oleh MgBot atau Nightdoor.
Namun, mekanisme keamanan baru yang diperkenalkan oleh Google seperti Device Bound Session Credentials (DBSC) dan App-Bound Encryption kemungkinan akan membuat malware pencuri cookie menjadi usang.
"CloudScout adalah alat .NET yang digunakan oleh Evasive Panda untuk mencuri data yang disimpan di layanan cloud," kata Ho. "Ini diimplementasikan sebagai ekstensi untuk MgBot dan menggunakan teknik pass-the-cookie untuk membajak sesi yang diautentikasi dari browser web."
Perkembangan ini terjadi seiring dengan tuduhan Pemerintah Kanada terhadap "aktor ancaman yang disponsori negara yang canggih" dari China yang melakukan upaya pengintaian yang luas selama beberapa bulan terhadap berbagai domain di Kanada.
“Sebagian besar organisasi yang terkena dampak adalah departemen dan badan pemerintah Kanada, dan termasuk partai politik federal, House of Commons, dan Senat," kata mereka dalam sebuah pernyataan.
"Mereka juga menargetkan puluhan organisasi, termasuk lembaga demokrasi, infrastruktur penting, sektor pertahanan, organisasi media, lembaga think tank, dan LSM."
Serangan ini menandakan peningkatan penggunaan taktik canggih oleh aktor ancaman negara untuk mencuri informasi sensitif dari lembaga pemerintah dan organisasi penting di seluruh dunia. Selain itu, munculnya alat seperti CloudScout menunjukkan bagaimana aktor ancaman beradaptasi dengan mekanisme keamanan baru untuk mempertahankan akses ke data yang berharga.
Penting bagi organisasi untuk meningkatkan pertahanan mereka terhadap serangan siber, termasuk menggunakan solusi keamanan yang komprehensif, melatih karyawan tentang praktik keamanan siber terbaik, dan secara proaktif memantau aktivitas yang mencurigakan di jaringan mereka. Dengan mengambil langkah-langkah pencegahan yang diperlukan, organisasi dapat membantu melindungi diri mereka sendiri dari ancaman siber yang terus berkembang.
Postingan terkait:
Belum ada tanggapan untuk "Kelompok Hacker EvasivePanda dari China Targetkan Taiwan dengan Pakai Tool CloudScout"
Post a Comment