Een voorheen ongedocumenteerde dreigingsacteur belde CeranaKeeper is in verband gebracht met een reeks data-exfiltratie-aanvallen gericht op Zuidoost-Azië.
Het Slowaakse cyberbeveiligingsbedrijf ESET, dat vanaf 2023 campagnes observeerde die zich richtten op overheidsinstellingen in Thailand, schreef het activiteitencluster toe als afgestemd op China, waarbij gebruik werd gemaakt van tools die eerder waren geïdentificeerd als gebruikt door de Mustang Panda-acteur.
“De groep werkt voortdurend haar achterdeur bij om detectie te omzeilen en diversifieert haar methoden om massale data-exfiltratie mogelijk te maken”, zei veiligheidsonderzoeker Romain Dumont in een vandaag gepubliceerde analyse.
“CeranaKeeper misbruikt populaire, legitieme cloud- en bestandsuitwisselingsdiensten zoals Dropbox en OneDrive om aangepaste achterdeurtjes en extractietools te implementeren.”
Enkele van de andere landen die het doelwit zijn van de tegenstander zijn Myanmar, de Filippijnen, Japan en Taiwan, die de afgelopen jaren allemaal het doelwit zijn geweest van door de Chinese staat gesponsorde dreigingsactoren.
ESET beschreef CeranaKeeper als meedogenloos, creatief en in staat om zijn modus operandi snel aan te passen, terwijl hij het ook agressief en hebzuchtig noemde vanwege zijn vermogen om zich lateraal door gecompromitteerde omgevingen te bewegen en zoveel mogelijk informatie op te zuigen via verschillende achterdeurtjes en exfiltratietools.
“Hun uitgebreide gebruik van wildcard-uitdrukkingen voor het doorkruisen van soms hele schijven liet duidelijk zien dat hun doel het massaal overhevelen van gegevens was”, aldus het bedrijf.
De exacte initiële toegangsroutes die door de dreigingsactor worden gebruikt, zijn nog onbekend. Een succesvolle aanvankelijke voet aan de grond wordt echter misbruikt om toegang te krijgen tot andere machines op het lokale netwerk, waarbij sommige van de gecompromitteerde machines zelfs worden omgezet in proxy’s of updateservers om updates voor hun achterdeur op te slaan.
De aanvallen worden gekenmerkt door het gebruik van malwarefamilies zoals TONESHELL, TONEINS en PUBLOAD – allemaal toegeschreven aan de Mustang Panda-groep – terwijl ze ook gebruik maken van een arsenaal aan nog nooit eerder vertoonde tools om data-exfiltratie te vergemakkelijken.
“Nadat ze geprivilegieerde toegang hadden verkregen, installeerden de aanvallers de TONESHELL-achterdeur, gebruikten ze een tool om inloggegevens te dumpen en gebruikten ze een legitiem Avast-stuurprogramma en een aangepaste applicatie om beveiligingsproducten op de machine uit te schakelen”, aldus Dumont.
“Vanaf deze gecompromitteerde server gebruikten ze een externe beheerconsole om hun achterdeur op andere computers in het netwerk in te zetten en uit te voeren. Bovendien gebruikte CeranaKeeper de gecompromitteerde server om updates voor TONESHELL op te slaan, waardoor deze in een updateserver veranderde.”
De nieuw ontdekte aangepaste toolset is als volgt:
- WavyExfiller – Een Python-uploader die gegevens verzamelt, inclusief aangesloten apparaten zoals USB’s en harde schijven, en Dropbox en PixelDrain gebruikt als exfiltratie-eindpunten
- DropboxFlop – Een Python DropboxFlop die een variant is van een openbaar verkrijgbare reverse shell genaamd DropFlop die wordt geleverd met upload- en downloadfuncties en Dropbox gebruikt als een command-and-control (C&C)-server
- BingoShell – Een Python-achterdeur die misbruik maakt van het pull-verzoek van GitHub en commentaarfuncties geeft om een onopvallende omgekeerde shell te creëren
“Vanuit een hoogstaand perspectief maakt (BingoShell) gebruik van een privé GitHub-repository als C&C-server”, legt ESET uit. “Het script gebruikt een hardgecodeerd token om te authenticeren en de pull-aanvragen en geeft commentaarfuncties om opdrachten te ontvangen om uit te voeren en de resultaten terug te sturen.”
Het bedrijf benadrukte het vermogen van CeranaKeeper om zijn toolset snel te schrijven en te herschrijven als dat nodig is om detectie te omzeilen. Het einddoel van de bedreigingsacteur is het ontwikkelen van op maat gemaakte malware waarmee het op grote schaal waardevolle informatie kan verzamelen.
“Mustang Panda en CeranaKeeper lijken onafhankelijk van elkaar te werken, en elk heeft zijn eigen toolset”, aldus het rapport. “Beide dreigingsactoren kunnen vertrouwen op dezelfde derde partij, zoals een digitale kwartiermeester, wat niet ongebruikelijk is onder aan China verbonden groepen, of hebben een zekere mate van informatie-uitwisseling, wat de waargenomen verbanden zou kunnen verklaren.”
