CeranaKeeper: как китайские киберакулы опустошают сети Юго-Восточной Азии

Новая хакерская группировка CeranaKeeper, связанная с Китаем и нацеленная на кражу данных в Юго-Восточной Азии обнаружена исследователями из компании ESET. Первая активность группы была замечена ещё в 2023 году, её жертвами стали государственные учреждения Таиланда. Деятельность CeranaKeeper также была замечена в других странах региона, включая Мьянму, Филиппины, Японию и Тайвань.

Группировка использует разнообразные методы и инструменты для сбора данных, среди которых злоупотребление легитимными сервисами облачного хранения и обмена файлами, такими как Dropbox и OneDrive. По словам исследователя безопасности ESET Ромена Дюмонта, эта группа постоянно обновляет свой инструментарий для обхода систем защиты и масштабного сбора данных.

В атаках CeranaKeeper задействуются бэкдоры и инструменты эксфильтрации, позволяющие быстро получать доступ к различным системам и собирать большие объёмы информации. По мнению экспертов, агрессивный подход группировки проявляется в её способности быстро распространяться по заражённым системам и оперативно адаптировать свои методы.

Хотя первоначальные способы проникновения CeranaKeeper в системы остаются неизвестными, злоумышленники используют уже полученный доступ для проникновения в другие машины локальной сети. Некоторые из заражённых компьютеров превращаются в прокси-серверы или серверы обновлений для бэкдоров.

В атаках CeranaKeeper используются такие вредоносные программы, как TONESHELL, TONEINS и PUBLOAD, которые также связаны с хакерской группировкой Mustang Panda. Кроме того, CeranaKeeper применяет ряд новых инструментов для сбора данных:

• WavyExfiller: Python-инструмент для загрузки данных, включая подключенные устройства, такие как USB и жёсткие диски, с эксфильтрацией через Dropbox и PixelDrain.
• DropboxFlop: Python-скрипт, являющийся модификацией обратной оболочки DropFlop, использующий Dropbox в качестве сервера управления и контроля.
• OneDoor: бэкдор на C++, применяющий API Microsoft OneDrive для выполнения команд и эксфильтрации файлов.
• BingoShell: Python-бэкдор, использующий возможности приватного репозитория на GitHub для создания скрытой обратной оболочки.

ESET также отмечает, что группа CeranaKeeper способна быстро переписывать и адаптировать свои инструменты для обхода систем защиты. Основная цель кибербандитов — разработка уникального вредоносного ПО для масштабного сбора конфиденциальной информации.

Согласно аналитике ESET, хотя CeranaKeeper и Mustang Panda могут действовать независимо друг от друга, они, вероятно, имеют некоторый уровень информационного обмена или опираются на общие сторонние ресурсы, что характерно для кибергруппировок, связанных с Китаем.