Οι hackers CeranaKeeper, μια προηγουμένως άγνωστη ομάδα που φαίνεται να συνδέεται με την Κίνα, βρίσκονται πίσω από μια σειρά επιθέσεων που στοχεύουν τη Νοτιοανατολική Ασία για κλοπή δεδομένων.
Η εταιρεία κυβερνοασφάλειας ESET, η οποία παρακολούθησε εκστρατείες που στοχεύουν κυβερνητικούς θεσμούς στην Ταϊλάνδη από το 2023, πιστεύει ότι οι hackers συνδέονται με την Κίνα και χρησιμοποιούν εργαλεία που προηγουμένως είχαν παρατηρηθεί στους hackers Mustang Panda.
“Η ομάδα ενημερώνει συνεχώς το backdoor της για να αποφύγει τον εντοπισμό και διαφοροποιεί τις μεθόδους της για να ενισχύσει τη μαζική κλοπή δεδομένων“, δήλωσε ο ερευνητής ασφαλείας Romain Dumont.
Δείτε επίσης: Οι επιθέσεις των Βορειοκορεατών hackers Andariel έχουν οικονομικά κίνητρα
“Οι hackers CeranaKeeper καταχρώνται δημοφιλείς, νόμιμες υπηρεσίες cloud και υπηρεσίες κοινής χρήσης αρχείων, όπως το Dropbox και το OneDrive, για να εγκαταστήσουν custom backdoors και εργαλεία εξαγωγής δεδομένων“.
Πέρα από την Ταϊλάνδη, στο στόχαστρο έχουν βρεθεί και οι Μιανμάρ, Φιλιππίνες, Ιαπωνία και Ταϊβάν. Αυτές οι περιοχές έχουν γίνει στόχος Κινέζων hackers και στο παρελθόν.
Η ESET περιέγραψε τους hackers CeranaKeeper ως αδυσώπητους, δημιουργικούς και ικανούς να αλλάζουν γρήγορα και να προσαρμόζουν τον τρόπο λειτουργίας τους σε διαφορετικές συνθήκες. Επίσης, σύμφωνα με τους ερευνητές, οι hackers είναι επιθετικοί και άπληστοι αφού εξαπλώνονται σε δίκτυα και προσπαθούν να κλέψουν όσο το δυνατόν περισσότερες πληροφορίες.
Η μέθοδος αρχικής πρόσβασης δεν είναι ακόμα γνωστή.
Οι επιθέσεις των CeranaKeeper hackers χαρακτηρίζονται από τη χρήση malware όπως το TONESHELL, το TONEINS και το PUBLOAD (όλα έχουν συνδεθεί με την ομάδα Mustang Panda) και από κάποια νέα εργαλεία που βοηθούν στην κλοπή δεδομένων.
“Μετά την απόκτηση προνομιακής πρόσβασης, οι εισβολείς εγκατέστησαν το TONESHELL backdoor, ανέπτυξαν ένα εργαλείο για την κλοπή διαπιστευτηρίων και χρησιμοποίησαν ένα νόμιμο Avast driver και μια προσαρμοσμένη εφαρμογή για να απενεργοποιήσουν τα προϊόντα ασφαλείας στο μηχάνημα-στόχο“, είπε ο Dumont.
Δείτε επίσης: Προσοχή! Hackers εκμεταλλεύονται κρίσιμη ευπάθεια Zimbra
“Από αυτόν τον παραβιασμένο διακομιστή, χρησιμοποίησαν μια κονσόλα απομακρυσμένης διαχείρισης για να αναπτύξουν και να εκτελέσουν το backdoor τους σε άλλους υπολογιστές του δικτύου. Επιπλέον, οι hackers CeranaKeeper χρησιμοποίησαν τον παραβιασμένο διακομιστή για να αποθηκεύσουν ενημερώσεις για το TONESHELL, μετατρέποντάς τον σε update server“.
Μερικά από τα custom εργαλεία, που ανακάλυψαν οι ερευνητές, είναι τα: WavyExfiller, DropboxFlop, OneDoor και BingoShell.
Σχετικά με τα κοινά στοιχεία Mustang Panda και CeranaKeeper, ο ερευνητής είπε: “Η ομάδα Mustang Panda και οι hackers CeranaKeeper φαίνεται να λειτουργούν ανεξάρτητα και ο καθένας έχει το δικό του σύνολο εργαλείων.. Και οι δύο ομάδες μπορεί να βασίζονται σε έναν κοινό ψηφιακό αρχηγό, κάτι που δεν είναι ασυνήθιστο μεταξύ ομάδων που συνδέονται με την Κίνα. Εναλλακτικά, μπορεί να ανταλλάσσουν πληροφορίες, το οποίο θα εξηγούσε τους συνδέσμους που έχουν παρατηρηθεί“.
Οι επιθέσεις των CeranaKeeper υπογραμμίζουν τη συνεχώς εξελισσόμενη φύση των απειλών στον κυβερνοχώρο, με νέους παράγοντες και τεχνικές να αναδύονται σε τακτική βάση. Ως εκ τούτου, είναι ζωτικής σημασίας για τους οργανισμούς να υιοθετήσουν μια προληπτική προσέγγιση για την ασφάλεια στον κυβερνοχώρο, παρακολουθώντας συνεχώς για πιθανούς κινδύνους και μένοντας ενήμεροι για τις τελευταίες απειλές. Εφαρμόζοντας ολοκληρωμένα μέτρα ασφαλείας και ενισχύοντας μια κουλτούρα ασφάλειας στο εργατικό τους δυναμικό, οι οργανισμοί μπορούν να προστατευθούν καλύτερα από τις κυβερνοαπειλές.
Δείτε επίσης: Οι hackers Storm-0501 στοχεύουν hybrid cloud περιβάλλοντα με ransomware
Πρέπει επίσης να είναι έτοιμοι να ανταποκριθούν γρήγορα σε πιθανά περιστατικά και να συνεργαστούν στενά με τις αρχές επιβολής του νόμου για να οδηγήσουν τους δράστες στη δικαιοσύνη.
Η εμφάνιση των hackers CeranaKeeper υπογραμμίζει, επίσης, τη σημασία μιας παγκόσμιας προσέγγισης για την ασφάλεια στον κυβερνοχώρο. Ενώ οι επιθέσεις μπορεί να στοχεύουν συγκεκριμένες περιοχές (π.χ. Νοτιοανατολική Ασία), η διασυνδεδεμένη φύση του ψηφιακού μας κόσμου σημαίνει ότι μπορεί να έχουν εκτεταμένες συνέπειες. Ως εκ τούτου, είναι απαραίτητο για τις χώρες να συνεργαστούν και να μοιραστούν πληροφορίες και πόρους προκειμένου να καταπολεμήσουν αποτελεσματικά το έγκλημα στον κυβερνοχώρο.
Πηγή: www.bleepingcomputer.com
