GmailやGoogle Drive、Outlookからデータ窃取する中国の脅威グループに注意

画像提供：マイナビニュース

ESETは10月28日(現地時間)、「CloudScout: Evasive Panda scouting cloud services」において、中国に関係しているとみられる持続的標的型攻撃(APT: Advanced Persistent Threat)グループの「Evasive Panda(別名：BRONZE HIGHLAND、Daggerfly、StormBamboo)」が台湾の政府機関および宗教団体を標的に、新しいマルウェア「CloudScout」を配布したと報じた。このマルウェアには10個のモジュールが含まれ、そのうち3つはGoogle Drive、Gmail、Outlookのデータを窃取できるという。

○マルウェア「CloudScout」の実態

マルウェア「CloudScout」は複数モジュールで構成された.NETフレームワークとされる。さまざまなクラウドサービスから情報を窃取する機能を持ち、合計10個のモジュールを選択的に展開する。これまでに、次の3つのモジュールの展開が確認されている。

CGD：Google Driveを標的にするモジュール
CGM：Gmailを標的にするモジュール
COL：Outlookを標的にするモジュール

○侵害経路

2022年に確認された台湾の宗教団体への攻撃では、CGM(Gmailを標的にするモジュール)の展開が確認された。CloudScoutはCGMに制御を移す前にWebブラウザのCookie情報を窃取し、CGMにCookie情報を渡すことで認証を回避(セッションハイジャック)して情報を窃取したという。

○対策

Chromeバージョン127およびEdgeバージョン128は、新たに導入したアプリケーションバウンド暗号化(ABE: App-Bound Encryption)により、CloudScoutによるCookie情報の窃取を防御できるとされる。そのため、これらWebブラウザの利用者は、最新バージョンにアップデートすることで攻撃を回避できる。

なお、Chromeのアプリケーションバウンド暗号化はセキュリティ研究者のAlexander Hagenah氏により復号ツールが公開されている。今後、CloudScoutの開発者が同様の機能を取り込むことで、防御を突破される可能性がある(参考：「GitHub - xaitax/Chrome-App-Bound-Encryption-Decryption: Tool to decrypt App-Bound encrypted keys in Chrome 127+, using the IElevator COM interface with path validation and encryption protections.」)。
（後藤大地）