Los piratas informáticos suelen atacar los servicios en la nube porque la superficie de ataque es enorme y las vulnerabilidades están muy extendidas.
No sólo eso, sino que la mayor dependencia de la infraestructura de la nube en todas las industrias aumenta el impacto de un ataque exitoso.
Los investigadores de ciberseguridad de ESET descubrieron recientemente que Evasive Panda está atacando activamente los servicios en la nube para robar datos utilizando un nuevo conjunto de herramientas.
Evasive Panda (también conocido como “BRONZE HIGHLAND”, “Daggerfly” y “StormBamboo”) es un sofisticado grupo chino APT que ha estado realizando operaciones de ciberespionaje desde 2012. El grupo apunta principalmente a organizaciones que se resisten a los intereses chinos.
Estrategias para proteger su sitio web y API de ataques de malware -> Webinar gratuito
Evasion Panda ataca los servicios en la nube
Sus actividades abarcan múltiples organizaciones y países: –
Diáspora tibetana Instituciones religiosas en Taiwán Instituciones académicas en Taiwán Grupos en Hong Kong Grupos pro democracia en China
Los países objetivo son: –
Vietnam Myanmar Corea del Sur
El arsenal tecnológico del grupo incluye técnicas de ataque avanzadas como “compromiso de la cadena de suministro”, “ataques de abrevadero” y “secuestro de DNS”.
Sus capacidades de desarrollo de malware han sido demostradas a través de diversas herramientas como:
MgBot (marco de malware personalizable) Nightdoor (puerta trasera avanzada que utiliza servicios en la nube para la comunicación C&C) CloudScout (marco basado en .NET)
Además de esto, CloudScout también contiene módulos especializados (CGD, CGM y COL). “Esto permite a los atacantes eludir eficazmente las medidas de seguridad “2FA” y “basadas en IP”, según el informe de ESET.
Cadena de compromiso (Fuente: WeLiveSecurity)
Mientras tanto, el grupo está aprovechando activamente CVE en una variedad de aplicaciones de servidor web y plataformas populares (“Microsoft Office y Confluence”).
Logramos esto manteniendo la “compatibilidad multiplataforma” en Windows, macOS y Android. La funcionalidad principal del conjunto de herramientas CloudScout gira en torno a la tecnología “pasar la cookie”.
Diseño del módulo CloudScout (Fuente – WeLiveSecurity)
Esta técnica se utiliza para mantener el acceso no autorizado mediante la obtención de cookies de autenticación como “X-OWA-CANARY” (para Outlook Web Access), “RPSSecAuth” y “ClientId”.
Para la recopilación de datos, el módulo utiliza “solicitudes web codificadas'' y “analizadores HTML'' para recuperar “encabezados de correo electrónico'', “cuerpos de mensajes'', “adjuntos'' y “documentos”. ' (con la extensión . Extrae sistemáticamente diferentes tipos de contenido, como “doc''). , “.docx”, “.xls”, “.xlsx”, “.ppt”, “.pptx”, “.pdf”, “.txt”).
Cada elemento extraído se procesa con un encabezado de metadatos personalizado (que contiene ID de cliente, asunto/nombre de archivo e información de nombre de usuario) y se cifra mediante “cifrado RC4”, con cualquier nombre de archivo GUID y personalizado. Se guardará con una extensión.
Luego, estos elementos se comprimen en un archivo ZIP con la extensión “.hxkz_zip” y se colocan en el directorio de extracción designado especificado en el campo de configuración de la ruta de datos.
Todo el proceso concluye con una fase de limpieza que elimina todos los artefactos operativos excepto los archivos filtrados.
Después de esto, el sistema saldrá o esperará un nuevo archivo de configuración basado en la configuración del indicador 'dealone'. Esto se hace usando 'MgBot' o 'Nightdoor' para la extracción de datos finales.
Realice análisis privados de malware en tiempo real en máquinas virtuales Windows y Linux. ¡Obtén una prueba gratuita de 14 días en ANY.RUN!
