Kumpulan ancaman sejajar dengan negara China yang baru dikenal pasti bernama CeranaKeeper telah ditemui menyasarkan institusi kerajaan di Thailand.
Kumpulan ini, ditemui oleh penyelidik ESET dan aktif sejak awal 2022, memanfaatkan set alat yang berkembang untuk mengeluarkan data sensitif dengan menyalahgunakan perkhidmatan awan yang sah seperti Dropbox, OneDrive dan GitHub.
Walaupun beberapa alatan CeranaKeeper sebelum ini dikaitkan dengan kumpulan Mustang Panda , analisis baharu ESET mendedahkan perbezaan teknikal, mencadangkan ini adalah entiti yang berbeza.
“Walau bagaimanapun, kedua-dua kumpulan yang sejajar dengan negara China boleh berkongsi maklumat dan subset alat untuk kepentingan bersama atau melalui pihak ketiga yang sama,” tambah syarikat itu.
Teknik Inovatif Untuk Penyusutan Data
CeranaKeeper menonjol kerana penggunaan inovatif perkhidmatan popular untuk kecurian data. Kumpulan itu telah membangunkan dan menggunakan pintu belakang tersuai dan alat penyingkiran data, termasuk perisian hasad berasaskan Python dan C++.
Komponen ketara termasuk WavyExfiller, alat berasaskan Python yang memuat naik dokumen sensitif ke Dropbox dan OneDoor, perisian hasad C++ yang menyalahgunakan OneDrive untuk menerima arahan dan mengekstrak fail. Alat lain, BingoShell, menggunakan ciri permintaan tarik GitHub untuk mencipta saluran arahan dan kawalan (C2) yang tersembunyi.
Penemuan utama daripada laporan ESET termasuk:
- CeranaKeeper sentiasa mengemas kini pintu belakangnya untuk mengelakkan pengesanan
- Penggunaan perkhidmatan awan yang sah untuk exfiltration data massa
- Penggunaan pelbagai jenis perisian hasad tersuai merentas mesin yang terjejas
Alat ini membolehkan CeranaKeeper menuai sejumlah besar data sambil berada di bawah radar. Operasi kumpulan itu menyasarkan bukan sahaja entiti kerajaan di Thailand tetapi juga negara lain di Asia, termasuk Myanmar, Jepun dan Taiwan.
“Matlamat kumpulan ini adalah untuk menuai sebanyak mungkin fail, dan ia membangunkan komponen khusus untuk tujuan itu,” tulis ESET.
Selain itu, para penyelidik percaya pergantungan CeranaKeeper pada perkhidmatan awan menjadikan operasinya mencabar untuk dikesan.
“[Kumpulan] menggunakan perkhidmatan awan dan perkongsian fail untuk exfiltration dan mungkin bergantung pada fakta bahawa trafik ke perkhidmatan popular ini kebanyakannya kelihatan sah dan lebih sukar untuk disekat apabila ia dikenal pasti,” kata ESET.
“Kempen disasarkan yang kami siasat memberi kami cerapan tentang operasi CeranaKeeper dan kempen masa depan mungkin akan mendedahkan lebih banyak lagi apabila usaha kumpulan untuk mendapatkan data sensitif berterusan.”