GmailやGoogle Drive、Outlookからデータ窃取する中国の脅威グループに注意
2024年10月29日(火)18時11分 マイナビニュース
ESETは10月28日(現地時間)、「CloudScout: Evasive Panda scouting cloud services」において、中国に関係しているとみられる持続的標的型攻撃(APT: Advanced Persistent Threat)グループの「Evasive Panda(別名:BRONZE HIGHLAND、Daggerfly、StormBamboo)」が台湾の政府機関および宗教団体を標的に、新しいマルウェア「CloudScout」を配布したと報じた。このマルウェアには10個のモジュールが含まれ、そのうち3つはGoogle Drive、Gmail、Outlookのデータを窃取できるという。
○マルウェア「CloudScout」の実態
マルウェア「CloudScout」は複数モジュールで構成された.NETフレームワークとされる。さまざまなクラウドサービスから情報を窃取する機能を持ち、合計10個のモジュールを選択的に展開する。これまでに、次の3つのモジュールの展開が確認されている。
CGD:Google Driveを標的にするモジュール
CGM:Gmailを標的にするモジュール
COL:Outlookを標的にするモジュール
○侵害経路
2022年に確認された台湾の宗教団体への攻撃では、CGM(Gmailを標的にするモジュール)の展開が確認された。CloudScoutはCGMに制御を移す前にWebブラウザのCookie情報を窃取し、CGMにCookie情報を渡すことで認証を回避(セッションハイジャック)して情報を窃取したという。
○対策
Chromeバージョン127およびEdgeバージョン128は、新たに導入したアプリケーションバウンド暗号化(ABE: App-Bound Encryption)により、CloudScoutによるCookie情報の窃取を防御できるとされる。そのため、これらWebブラウザの利用者は、最新バージョンにアップデートすることで攻撃を回避できる。
なお、Chromeのアプリケーションバウンド暗号化はセキュリティ研究者のAlexander Hagenah氏により復号ツールが公開されている。今後、CloudScoutの開発者が同様の機能を取り込むことで、防御を突破される可能性がある(参考:「GitHub - xaitax/Chrome-App-Bound-Encryption-Decryption: Tool to decrypt App-Bound encrypted keys in Chrome 127+, using the IElevator COM interface with path validation and encryption protections.」)。