TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 / 攻撃組織 に関する「個人」の調査・研究・参照ログ

トップ > 攻撃組織: Evasive Panda / Daggerfly (中国) > Cookieを悪用する新型ツールを解析! 中国系APTが使う新たなマルウェアとは

Cookieを悪用する新型ツールを解析! 中国系APTが使う新たなマルウェアとは

攻撃組織: Evasive Panda / Daggerfly (中国) Malware: CloudScout Malware: Nightdoor / NetMM / Trojan.Suzafk 攻撃フレームワーク: MgBot

【図表】


COLモジュールからOutlook Web AccessへのHTTPリクエスト

CGDモジュールのマニフェスト

CloudScoutモジュールのバージョン

CGM DLLをロードするコード

CloudScoutモジュールを展開するパス

GmckがCookieを抽出するデータベースファイル

GmckとCGMのやり取り

GMモジュールのGmckプラグインによって生成された設定の例

CommonUtilitiesの設計の概要
出典: https://ascii.jp/elem/000/004/297/4297289/


【要約】

中国系APTグループ「Evasive Panda」が開発したCloudScoutツールセットは、Webブラウザから窃取した認証Cookieを悪用し、Google Drive、Gmail、Outlookなどのクラウドサービスからデータを盗み出す.NET製マルウェアです。台湾の政府機関・宗教団体が2022~2023年に標的となり、Cookieを使ったセッション乗っ取りで2FA等のセキュリティを迂回し、メールやファイル等を外部送信します。CloudScoutはMgBotと連携し、多数のモジュールが存在。近年のChrome「App-Bound Encryption」等の防御策による対抗も進んでいますが、標的型の高機能ツールで、クラウド時代のAPT攻撃手法の一例となっています。


【ニュース】

◆Cookieを悪用する新型ツールを解析! 中国系APTが使う新たなマルウェアとは (Ascii.jp, 2025/07/08 14:00)
https://ascii.jp/elem/000/004/297/4297289/


【関連まとめ記事】

全体まとめ
 ◆攻撃組織 / Actor (まとめ)
  ◆標的型攻撃組織 / APT (まとめ)

◆Evasive Panda / Daggerfly (まとめ)
https://malware-log.hatenablog.com/entry/Evasive_Panda

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2023