Sumário Executivo
Recentemente, o grupo de ameaça chinês conhecido como Evasive Panda ou BRONZE HIGHLAND realizou ataques direcionados contra entidades em Taiwan, incluindo uma organização governamental e uma instituição religiosa. Utilizando uma ferramenta avançada de pós-comprometimento chamada CloudScout, esse grupo foi capaz de roubar cookies de sessão, o que lhes permitiu obter acesso a dados de contas em serviços de nuvem, como Google Drive, Outlook e Gmail, sem a necessidade de senhas. O acesso direto por cookies é particularmente grave, pois evita medidas de segurança como autenticação multifatorial (2FA).
Quem é o Evasive Panda?
O Evasive Panda é um grupo APT (Ameaça Persistente Avançada) ativo desde 2012 e especializado em ciberespionagem contra alvos que desafiam interesses estratégicos da China, como instituições acadêmicas e religiosas de Taiwan, defensores da democracia em Hong Kong e na China continental. Este grupo utiliza técnicas sofisticadas, incluindo ataques de watering-hole, comprometimento da cadeia de suprimentos, e sequestro de DNS, para infiltrar sistemas de suas vítimas.
Funcionamento da Ferramenta CloudScout
O CloudScout é um framework de malware modular, desenvolvido em .NET, composto por vários módulos que se especializam em diferentes serviços de nuvem. Os módulos principais incluem:
CGD: Direcionado ao Google Drive.
CGM: Focado no Gmail.
COL: Usado para acessar o Outlook.
O grupo de ameaça utiliza esses módulos para obter cookies de sessão, o que lhes permite acessar dados confidenciais. Diferente de senhas roubadas, que podem ser protegidas por políticas de 2FA, os cookies de sessão permitem acesso imediato e contínuo, pois representam uma sessão autenticada já estabelecida.
Técnicas de Exfiltração e Persistência
Após comprometer o sistema da vítima, o CloudScout realiza uma série de ações para assegurar acesso persistente e evitar a detecção. Entre essas técnicas, destacam-se:
Uso de cookies do navegador: O módulo CGM, por exemplo, extrai cookies de sessão do Gmail, possibilitando o acesso aos dados de e-mail da vítima.
Criptografia RC4 para configuração: O framework utiliza uma chave RC4 compartilhada para criptografar configurações, aumentando a complexidade para interceptação.
Monitoramento contínuo e remoção de vestígios: Após o uso, os cookies e outros dados são removidos do disco, evitando pistas que possam denunciar a atividade maliciosa.
Medidas de Mitigação
Para combater o roubo de cookies, plataformas de navegação como Google Chrome e Microsoft Edge lançaram ferramentas específicas de segurança. Em 2023, o Chrome introduziu o App-Bound Encryption e o projeto Device Bound Session Credentials (DBSC), limitando o uso de cookies a dispositivos e aplicativos específicos, uma medida importante para mitigar ataques que se baseiam na exfiltração de cookies de sessão.
Conclusão
Os ataques do Evasive Panda demonstram a crescente sofisticação dos grupos APT e a necessidade urgente de melhorias nas proteções contra roubo de sessão. Ferramentas como o CloudScout representam um risco elevado, pois driblam controles tradicionais de segurança, reforçando a importância de soluções de autenticação baseadas em dispositivo e a rápida atualização de políticas de segurança por parte de organizações.
Referências:
Comments