جعبه ابزار CloudScout Panda فراری تایوان را هدف قرار می دهد

ابزار جدید مستند شده CloudScout که توسط گروه Evasive Panda Advanced Persistent Threat (APT) توسعه یافته است، به ،وان هدف سازمان های تایو، برای نفوذ و است،اج داده های مبتنی بر ابر شناسایی شده است.

این حملات که بین سال های 2022 تا 2023 انجام شده و توسط ESET کشف شده است، نشان می دهد که چگونه CloudScout از کوکی های جلسه به سرقت رفته توسط افزونه های MgBot برای دسترسی به حساب های Google Drive، Gmail و Outlook بدون نیاز به احراز هویت مستقیم سوء استفاده می کند.

پاندا فراری، یک گروه متحد چین که حداقل از سال 2012 فعال بوده است، بر جاسوسی سایبری در تایوان تمرکز کرده است، جایی که قبلا یک نهاد ،تی و یک نهاد مذهبی را هدف قرار داده بود.

«Evasive Panda» فهرست قابل توجهی از بردارهای حمله را گردآوری کرده است و وب سرور.

این گروه همچنین توانایی قوی برای توسعه ب،زارها را نشان می دهد که در مجموعه عمیق درب های پشتی متقابل پلتفرمی برای ویندوز، macOS و اندروید نشان داده شده است.

سه ماژول خاص CloudScout - CGD، CGM، و COL - اه، مختلفی را دنبال می کنند: CGD Google Drive را هدف قرار می دهد، CGM Gmail را هدف قرار می دهد و COL Outlook را هدف قرار می دهد. هر واحد از کوکی های به خطر افتاده برای دور زدن احراز هویت دو مرحله ای استفاده می کند و امکان دسترسی مستقیم به داده های ذخیره شده در ابر را فراهم می کند.

ویژگی های کلیدی CloudScout عبارتند از:

• ادغام یکپارچه با MgBot، چارچوب ب،زار اصلی Evasive Panda

• با شبیه سازی جلسات تأیید شده کاربر، به خدمات ابری هدف دسترسی پیدا کنید

• به طور خودکار داده ها را از Google Drive، Gmail و Outlook بدون اطلاعات کاربری کاربر است،اج کنید

درباره حملات ب،زار مبتنی بر کوکی بیشتر بخو،د: ب،زار جدید WarmCookie کاربران را با پیوندهای م،ب هدف قرار می دهد

چارچوب داخلی CloudScout برای انجام وظایف پیچیده، از جمله پیکربندی، مدیریت و رمزگشایی کوکی های مورد نیاز برای ماژول ها برای ایجاد درخواست های وب طراحی شده است.

بسته CommonUtilities CloudScout همچنین با مدیریت درخواست های HTTP و تجزیه و تحلیل کوکی ها، کار را آسان تر می کند و ابزار را با معماری های متنوع هر سرویس هدف سازگار می کند. این ب،زار می تواند به طور مستقل دایرکتوری ها را برای فایل های پیکربندی جدید نظارت کند، که منجر به چرخه های است،اج داده ها می شود که پس از هر چرخه فهرست فعالیت ها را حذف می کند.

محققان خاطرنشان ،د که چگونه CloudScout از روش های هدفمندی استفاده می کند که به نظر می رسد برای کاربران تایو، طراحی شده اند، که با ترجیحات زبان و پیکربندی های خاص منطقه موجود در ماژول های آن مشخص می شود.

تجزیه و تحلیل همچنین نشان می دهد که CloudScout ممکن است دارای ماژول های اضافی باشد که رسانه های اجتماعی مانند فیس بوک و توییتر را هدف قرار می دهد، اگرچه این ماژول ها در استقرار فعال نامرئی باقی می مانند.