Группа быстро адаптирует свои методы, чтобы обойти любую цифровую защиту.
Новая хакерская группировка CeranaKeeper, связанная с Китаем и нацеленная на кражу данных в Юго-Восточной Азии обнаружена исследователями из компании ESET. Первая активность группы была замечена ещё в 2023 году, её жертвами стали государственные учреждения Таиланда. Деятельность CeranaKeeper также была замечена в других странах региона, включая Мьянму, Филиппины, Японию и Тайвань.
Группировка использует разнообразные методы и инструменты для сбора данных, среди которых злоупотребление легитимными сервисами облачного хранения и обмена файлами, такими как Dropbox и OneDrive. По словам исследователя безопасности ESET Ромена Дюмонта, эта группа постоянно обновляет свой инструментарий для обхода систем защиты и масштабного сбора данных.
В атаках CeranaKeeper задействуются бэкдоры и инструменты эксфильтрации, позволяющие быстро получать доступ к различным системам и собирать большие объёмы информации. По мнению экспертов, агрессивный подход группировки проявляется в её способности быстро распространяться по заражённым системам и оперативно адаптировать свои методы.
Хотя первоначальные способы проникновения CeranaKeeper в системы остаются неизвестными, злоумышленники используют уже полученный доступ для проникновения в другие машины локальной сети. Некоторые из заражённых компьютеров превращаются в прокси-серверы или серверы обновлений для бэкдоров.
В атаках CeranaKeeper используются такие вредоносные программы, как TONESHELL, TONEINS и PUBLOAD, которые также связаны с хакерской группировкой Mustang Panda. Кроме того, CeranaKeeper применяет ряд новых инструментов для сбора данных:
ESET также отмечает, что группа CeranaKeeper способна быстро переписывать и адаптировать свои инструменты для обхода систем защиты. Основная цель кибербандитов — разработка уникального вредоносного ПО для масштабного сбора конфиденциальной информации.
Согласно аналитике ESET, хотя CeranaKeeper и Mustang Panda могут действовать независимо друг от друга, они, вероятно, имеют некоторый уровень информационного обмена или опираются на общие сторонние ресурсы, что характерно для кибергруппировок, связанных с Китаем.
Гравитация научных фактов сильнее, чем вы думаете