Table of Contents
Ameaças Cibernéticas: CeranaKeeper e suas Táticas de Exfiltração de Dados
Um novo ator de ameaça, denominado CeranaKeeper, foi vinculado a uma série de ataques de exfiltração de dados que visam o sudeste asiático. A empresa de cibersegurança eslovaca ESET observou campanhas direcionadas a instituições governamentais na Tailândia desde 2023 e atribuiu essa atividade a uma origem alinhada à China, utilizando ferramentas anteriormente associadas ao ator Mustang Panda.
Características do CeranaKeeper
“O grupo constantemente atualiza seu backdoor para evadir a detecção e diversifica seus métodos para auxiliar na exfiltração maciça de dados”, afirmou o pesquisador de segurança Romain Dumont.
CeranaKeeper se destaca por abusar de serviços populares e legítimos de nuvem e compartilhamento de arquivos, como Dropbox e OneDrive, para implementar backdoors personalizados e ferramentas de extração. Os outros países-alvo incluem Mianmar, Filipinas, Japão e Taiwan, que também têm sido visados por atores de ameaça patrocinados pelo Estado chinês nos últimos anos.
Modus Operandi e Ferramentas Utilizadas
ESET descreveu CeranaKeeper como um grupo implacável, criativo e capaz de se adaptar rapidamente, classificado como agressivo e ganancioso em sua capacidade de se mover lateralmente em ambientes comprometidos, coletando o máximo de informações possível por meio de vários backdoors e ferramentas de exfiltração. Entre as características dos ataques, nota-se um uso extensivo de expressões curinga para atravessar sistemas, indicando a intenção de realizar uma coleta maciça de dados.
Ainda não se conhece exatamente as rotas de acesso inicial utilizadas por esse ator de ameaça, mas uma vez que um ponto de entrada é estabelecido, ele é utilizado para acessar outras máquinas na rede local. Algumas dessas máquinas comprometidas podem se tornar proxies ou servidores de atualização para armazenar atualizações de seus backdoors.
Os ataques são caracterizados pelo uso de famílias de malware como TONESHELL, TONEINS e PUBLOAD, todos atribuídos ao grupo Mustang Panda, e uma gama de ferramentas inéditas para auxiliar na exfiltração de dados. Após obter acesso privilegiado, os atacantes instalam o backdoor TONESHELL, implantam uma ferramenta para coletar credenciais e utilizam um driver legítimo da Avast além de um aplicativo personalizado para desabilitar produtos de segurança na máquina comprometida.
Ferramentas Personalizadas do CeranaKeeper
O conjunto de ferramentas recentemente descoberto inclui:
- WavyExfiller: Um uploader em Python que coleta dados, incluindo dispositivos conectados como USBs e hard drives, utilizando Dropbox e PixelDrain como pontos de exfiltração.
- DropboxFlop: Uma variante do shell reverso público chamado DropFlop, que possui recursos de upload e download e utiliza o Dropbox como servidor de comando e controle (C&C).
- OneDoor: Um backdoor em C++ que utiliza a API REST do Microsoft OneDrive para receber comandos e exfiltrar arquivos.
- BingoShell: Um backdoor em Python que utiliza recursos de pull request e comentários de issues do GitHub para criar um shell reverso discreto.
“Em uma perspectiva geral, [BingoShell] aproveita um repositório privado do GitHub como servidor de C&C,” explicou a ESET. “O script utiliza um token hard-coded para autenticação, e as solicitações de pull e comentários de issues para receber comandos a serem executados e enviar os resultados de volta.”
A capacidade do CeranaKeeper de rapidamente desenvolver e reescrever seu conjunto de ferramentas para evadir detecções indica que seu objetivo final é criar malware sob medida para coletar informações valiosas em grande escala. A ESET observa que, embora Mustang Panda e CeranaKeeper pareçam operar de forma independente, ambos podem depender de um mesmo terceiro, como um almoxarifado digital, uma prática comum entre grupos alinhados à China, ou ter algum nível de compartilhamento de informações que explique as conexões observadas.
#Cibersegurança #AmeaçasCibernéticas #ExfiltraçãoDeDados #MustangPanda #CeranaKeeper
The Hacker News
https://thehackernews.com/2024/10/china-linked-ceranakeeper-targeting.html