top of page
Foto do escritorDiego Arantes

Atores de Ameaças Chineses Utilizam CloudScout para Roubo de Cookies de Sessão

Sumário Executivo

Recentemente, o grupo de ameaça chinês conhecido como Evasive Panda ou BRONZE HIGHLAND realizou ataques direcionados contra entidades em Taiwan, incluindo uma organização governamental e uma instituição religiosa. Utilizando uma ferramenta avançada de pós-comprometimento chamada CloudScout, esse grupo foi capaz de roubar cookies de sessão, o que lhes permitiu obter acesso a dados de contas em serviços de nuvem, como Google Drive, Outlook e Gmail, sem a necessidade de senhas. O acesso direto por cookies é particularmente grave, pois evita medidas de segurança como autenticação multifatorial (2FA)​.

Quem é o Evasive Panda?

O Evasive Panda é um grupo APT (Ameaça Persistente Avançada) ativo desde 2012 e especializado em ciberespionagem contra alvos que desafiam interesses estratégicos da China, como instituições acadêmicas e religiosas de Taiwan, defensores da democracia em Hong Kong e na China continental. Este grupo utiliza técnicas sofisticadas, incluindo ataques de watering-hole, comprometimento da cadeia de suprimentos, e sequestro de DNS, para infiltrar sistemas de suas vítimas​.


Funcionamento da Ferramenta CloudScout

O CloudScout é um framework de malware modular, desenvolvido em .NET, composto por vários módulos que se especializam em diferentes serviços de nuvem. Os módulos principais incluem:

  1. CGD: Direcionado ao Google Drive.

  2. CGM: Focado no Gmail.

  3. COL: Usado para acessar o Outlook.

O grupo de ameaça utiliza esses módulos para obter cookies de sessão, o que lhes permite acessar dados confidenciais. Diferente de senhas roubadas, que podem ser protegidas por políticas de 2FA, os cookies de sessão permitem acesso imediato e contínuo, pois representam uma sessão autenticada já estabelecida.


Técnicas de Exfiltração e Persistência

Após comprometer o sistema da vítima, o CloudScout realiza uma série de ações para assegurar acesso persistente e evitar a detecção. Entre essas técnicas, destacam-se:

  • Uso de cookies do navegador: O módulo CGM, por exemplo, extrai cookies de sessão do Gmail, possibilitando o acesso aos dados de e-mail da vítima.

  • Criptografia RC4 para configuração: O framework utiliza uma chave RC4 compartilhada para criptografar configurações, aumentando a complexidade para interceptação.

  • Monitoramento contínuo e remoção de vestígios: Após o uso, os cookies e outros dados são removidos do disco, evitando pistas que possam denunciar a atividade maliciosa​.


Medidas de Mitigação

Para combater o roubo de cookies, plataformas de navegação como Google Chrome e Microsoft Edge lançaram ferramentas específicas de segurança. Em 2023, o Chrome introduziu o App-Bound Encryption e o projeto Device Bound Session Credentials (DBSC), limitando o uso de cookies a dispositivos e aplicativos específicos, uma medida importante para mitigar ataques que se baseiam na exfiltração de cookies de sessão​.


Conclusão

Os ataques do Evasive Panda demonstram a crescente sofisticação dos grupos APT e a necessidade urgente de melhorias nas proteções contra roubo de sessão. Ferramentas como o CloudScout representam um risco elevado, pois driblam controles tradicionais de segurança, reforçando a importância de soluções de autenticação baseadas em dispositivo e a rápida atualização de políticas de segurança por parte de organizações.


Referências:

5 visualizações0 comentário

Posts recentes

Ver tudo

Comments


bottom of page