Um ator de ameaça anteriormente não documentado chamado CeranaKeeper tem sido associado a uma série de ataques de exfiltração de dados direcionados ao Sudeste Asiático.
A empresa eslovaca de segurança cibernética ESET, que observou campanhas direcionadas a instituições governamentais na Tailândia a partir de 2023, atribuiu o cluster de atividades como alinhado à China, aproveitando ferramentas previamente identificadas como usadas pelo ator Mustang Panda.
“O grupo atualiza constantemente seu backdoor para evitar a detecção e diversifica seus métodos para auxiliar na exfiltração massiva de dados”, disse o pesquisador de segurança Romain Dumont em uma análise publicada hoje.
“O CeranaKeeper abusa de serviços populares e legítimos de nuvem e de compartilhamento de arquivos, como Dropbox e OneDrive, para implementar backdoors personalizados e ferramentas de extração.”
Alguns dos outros países visados pelo adversário incluem Mianmar, as Filipinas, o Japão e Taiwan, todos alvo de ameaças patrocinadas pelo Estado chinês nos últimos anos.
A ESET descreveu o CeranaKeeper como implacável, criativo e capaz de adaptar rapidamente seu modus operandi, ao mesmo tempo que o chama de agressivo e ganancioso por sua capacidade de se mover lateralmente em ambientes comprometidos e coletar o máximo de informações possível por meio de vários backdoors e ferramentas de exfiltração.
“O uso extensivo de expressões curinga para percorrer, às vezes, unidades inteiras mostrou claramente que seu objetivo period o desvio massivo de dados”, disse a empresa.
As rotas de acesso iniciais exatas empregadas pelo ator da ameaça permanecem desconhecidas ainda. No entanto, uma posição inicial bem-sucedida é abusada para obter acesso a outras máquinas na rede native, até mesmo transformando algumas das máquinas comprometidas em proxies ou servidores de atualização para armazenar atualizações para seu backdoor.
Os ataques são caracterizados pelo uso de famílias de malware como TONESHELL, TONEINS e PUBLOAD – todos atribuídos ao grupo Mustang Panda – ao mesmo tempo que fazem uso de um arsenal de ferramentas nunca antes vistas para auxiliar na exfiltração de dados.
“Depois de obter acesso privilegiado, os invasores instalaram o backdoor TONESHELL, implantaram uma ferramenta para despejar credenciais e usaram um driver Avast legítimo e um aplicativo personalizado para desabilitar produtos de segurança na máquina”, disse Dumont.
“A partir deste servidor comprometido, eles usaram um console de administração remota para implantar e executar seu backdoor em outros computadores da rede. Além disso, o CeranaKeeper usou o servidor comprometido para armazenar atualizações para o TONESHELL, transformando-o em um servidor de atualização.”
O conjunto de ferramentas personalizadas recém-descoberto é o seguinte –
- WavyExfiller – Um uploader Python que coleta dados, incluindo dispositivos conectados como USBs e discos rígidos, e usa Dropbox e PixelDrain como pontos de extremidade de exfiltração
- DropboxFlop – Um DropboxFlop Python que é uma variante de um shell reverso disponível publicamente chamado DropFlop que vem com recursos de add e obtain e usa o Dropbox como um servidor de comando e controle (C&C)
- BingoShell – Um backdoor Python que abusa da solicitação pull do GitHub e emite recursos de comentários para criar um shell reverso furtivo
“De um ponto de vista de alto nível, (BingoShell) aproveita um repositório GitHub privado como um servidor C&C”, explicou a ESET. “O script usa um token codificado para autenticar e solicitar pull e emitir recursos de comentários para receber comandos para executar e enviar de volta os resultados.”
Destacando a capacidade do CeranaKeeper de escrever e reescrever rapidamente seu conjunto de ferramentas conforme necessário para evitar a detecção, a empresa disse que o objetivo ultimate do ator da ameaça é desenvolver malware personalizado que possa permitir a coleta de informações valiosas em grande escala.
“O Mustang Panda e o CeranaKeeper parecem operar independentemente um do outro e cada um tem seu próprio conjunto de ferramentas”, afirmou. “Ambos os atores da ameaça podem contar com o mesmo terceiro, como um contramestre digital, o que não é incomum entre grupos alinhados com a China, ou ter algum nível de partilha de informações, o que explicaria as ligações que foram observadas”.
