【样本分享】Evasive Panda利用CloudScout工具渗透台湾政府和宗教组织

概要：

近期，ESET研究人员揭示了一个名为“CloudScout”的复杂网络间谍工具集，该工具由被称为Evasive Panda的高级持续威胁（APT）组织使用。该组织利用CloudScout获取敏感数据。

主要内容：

Evasive Panda通过CloudScout工具集，主要利用被盗的浏览器会话cookie，访问并窃取存储在Google Drive、Gmail和Outlook等流行云服务中的数据。ESET的报告指出，CloudScout利用由MgBot插件提供的被盗cookie，来访问和提取各种云服务中的数据。MgBot是与Evasive Panda相关的知名恶意软件框架，通过特定插件与CloudScout模块无缝集成，提供这些会话cookie。

研究人员检测到CloudScout的三个关键模块——CGD、CGM和COL，每个模块针对不同的云服务。CloudScout的模块化特性使其具有适应性，且每个模块均使用C#编写，专注于特定目标，部分模块可能正在开发中，以进一步扩展其影响力。ESET的分析表明，至少还有七个额外模块存在，暗示该工具集可能具备更广泛的能力。

CloudScout的隐蔽性在于其使用基于cookie的身份验证，能够绕过如双因素身份验证（2FA）等安全措施。通过劫持经过身份验证的网络会话，CloudScout模块能够像合法用户一样执行操作。这一技术特别有效，能够获取未授权访问的云存储数据，并进行窃取。ESET强调，随着对Evasive Panda最新能力的持续监测，开发如Google的设备绑定会话凭证和Chrome的应用绑定加密等新防御措施显得尤为重要，以应对基于cookie的入侵。