Aggiornamenti recenti Settembre 18th, 2025 4:37 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Cohesity Identity Resilience: da Cohesity e Semperis una soluzione per proteggere le infrastrutture di identità aziendali
- MuddyWater si evolve: attacchi più sofisticati e infrastruttura più resiliente
- Un attacco supply chain ha compromesso oltre 40 pacchetti NPM
- TeamItaly, presentata la nuova squadra di giovani cyber defender
- CERT-AGID 6-12 settembre: i ransomware mostrano una nuova tattica di ingegneria sociale
Scoperto CloudScout, un nuovo toolset usato da Evasive Panda
I ricercatori di ESET hanno scoperto CloudScout, un nuovo toolset usato dal gruppo cinese Evasive Panda per le operazioni post-compromissione. Gli strumenti sono stati per colpire un’organizzazione religiosa e un’entità governativa taiwanesi tra il 2022 e il 2023.
CloudScout è un framework malware .NET composto da molteplici moduli capaci di colpire diversi servizi cloud pubblici, tra i quali Google Drive, Gmail e Outlook. La tecnica principale del framework si basa sull’hijacking di sessioni web di utenti autenticati: i moduli ottengono i cookie salvati nel browser per accedere ai servizi e quindi ai dati in cloud, eludendo i controlli della 2FA.
Tramite un plugin, il toolset si integra con MgBot, il malware più noto del gruppo, per accedere ai dati dei servizi cloud ed esfiltrarli. Tutti i moduli del framework condividono un’architettura uniforme e si basano su una funzionalità core chiamata Cloud, praticamente identica per ogni modulo.
Nell’analisi dei ricercatori, i moduli relativi a Google Drive, Gmail e Outlook accedono inizialmente ai cookie di sessione contenuti nel browser. Dopo aver eseguito l’autenticazione con l’account della vittima, comincia la fase di esfiltrazione dei dati: ciascun modulo usa una serie di richieste web preimpostate per cercare e raccogliere i file tra le cartelle del servizio cloud.
I moduli relativi a Gmail e Outlook cercano informazioni sugli header delle email, il corpo dei messaggi e gli eventuali allegati condivisi; al contrario, il modulo che colpisce Google Drive cerca le informazioni sull’account e tutti i file con estensioni .doc, .docx, .xls, .xlsx, .ppt, .pptx, .pdf e .txt.
In seguito, i moduli appendono un header a ogni file scaricato con le informazioni sul tipo di dato, l’ID del client, lo username della vittima ed eventualmente il titolo dell’email. Questi dati vengono usati probabilmente per processare massivamente i file e ordinarli in un database.
I documenti e i dati raccolti vengono poi compressi in un archivio ZIP; la cartella in seguito verrà inviata al server degli attaccanti usando MgBot o Nightdoor, una backdoor piuttosto recente realizzata da Evasive Panda.
Stando all’analisi dei ricercatori, il toolset è stato sviluppato nel 2020 e ha subito diverse revisioni. Oltre ai tre moduli analizzati dal team di ESET, ne esistono altri sette, anche se al momento non è ancora chiaro il loro scopo. Considerando la naming convention usata dal gruppo (CGD = Google Drive, CGM = GMail e COL=Outlook), è possibile che i moduli CTW e CFB colpiscano rispettivamente Twitter e Facebook.
Condividi l'articolo
Furto di credenziali, la minaccia di cracking più diffusa
Phishing, breach e trojan bancari: Acronis condivide il rapporto sulle minacce più recenti
Articoli correlati
Altro in questa categoria
Approfondimenti
-
MuddyWater si evolve: attacchi più sofisticati e... La minaccia di MuddyWater non si arresta, anzi: negli... -
L’IA diventa arma e vittima per il cybercrimine: il... L’intelligenza artificiale diventa non solo... -
Report Acronis: il ransomware rimane la minaccia principale... Il ransomware continua a dilagare e rimane la minaccia... -
Migrazione a Windows 11: le aziende devono affrontare molte... Il prossimo 14 ottobre terminerà ufficialmente il supporto... -
IoT, i dispositivi connessi sono ancora troppo esposti alle... Il mondo dell’IoT rimane uno dei più esposti alle...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Cohesity Identity Resilience: da Cohesity e Semperis una... A un anno dall’annuncio della partnership, Cohesity e... -
MuddyWater si evolve: attacchi più sofisticati e... La minaccia di MuddyWater non si arresta, anzi: negli...
-
Un attacco supply chain ha compromesso oltre 40 pacchetti... I ricercatori della compagnia di sicurezza Socket hanno... -
TeamItaly, presentata la nuova squadra di giovani cyber... La nuova squadra italiana per le competizioni di... -
CERT-AGID 6-12 settembre: i ransomware mostrano una nuova... La scorsa settimana il CERT-AGID ha identificato e...
Ransomware: la serie
No posts found.