ESETは10月28日(現地時間)、「CloudScout: Evasive Panda scouting cloud services」において、中国に関係しているとみられる持続的標的型攻撃(APT: Advanced Persistent Threat)グループの「Evasive Panda(別名:BRONZE HIGHLAND、Daggerfly、StormBamboo)」が台湾の政府機関および宗教団体を標的に、新しいマルウェア「CloudScout」を配布したと報じた。このマルウェアには10個のモジュールが含まれ、そのうち3つはGoogle Drive、Gmail、Outlookのデータを窃取できるという。

  • CloudScout: Evasive Panda scouting cloud services

    CloudScout: Evasive Panda scouting cloud services

マルウェア「CloudScout」の実態

マルウェア「CloudScout」は複数モジュールで構成された.NETフレームワークとされる。さまざまなクラウドサービスから情報を窃取する機能を持ち、合計10個のモジュールを選択的に展開する。これまでに、次の3つのモジュールの展開が確認されている。

  • CGD:Google Driveを標的にするモジュール
  • CGM:Gmailを標的にするモジュール
  • COL:Outlookを標的にするモジュール

侵害経路

2022年に確認された台湾の宗教団体への攻撃では、CGM(Gmailを標的にするモジュール)の展開が確認された。CloudScoutはCGMに制御を移す前にWebブラウザのCookie情報を窃取し、CGMにCookie情報を渡すことで認証を回避(セッションハイジャック)して情報を窃取したという。

  • 台湾の宗教団体への攻撃にて観察された侵害経路 - 引用:ESET

    台湾の宗教団体への攻撃にて観察された侵害経路 引用:ESET

対策

Chromeバージョン127およびEdgeバージョン128は、新たに導入したアプリケーションバウンド暗号化(ABE: App-Bound Encryption)により、CloudScoutによるCookie情報の窃取を防御できるとされる。そのため、これらWebブラウザの利用者は、最新バージョンにアップデートすることで攻撃を回避できる。

なお、Chromeのアプリケーションバウンド暗号化はセキュリティ研究者のAlexander Hagenah氏により復号ツールが公開されている。今後、CloudScoutの開発者が同様の機能を取り込むことで、防御を突破される可能性がある(参考:「GitHub - xaitax/Chrome-App-Bound-Encryption-Decryption: Tool to decrypt App-Bound encrypted keys in Chrome 127+, using the IElevator COM interface with path validation and encryption protections.」)。