- 13,095
- 20
- 8 Ноя 2022
Группа быстро адаптирует свои методы, чтобы обойти любую цифровую защиту.
Новая хакерская группировка CeranaKeeper, связанная с Китаем и нацеленная на кражу данных в Юго-Восточной Азии Для просмотра ссылки Войдиили Зарегистрируйся исследователями из компании ESET . Первая активность группы была замечена ещё в 2023 году, её жертвами стали государственные учреждения Таиланда. Деятельность CeranaKeeper также была замечена в других странах региона, включая Мьянму, Филиппины, Японию и Тайвань.
Группировка использует разнообразные методы и инструменты для сбора данных, среди которых злоупотребление легитимными сервисами облачного хранения и обмена файлами, такими как Dropbox и OneDrive. По словам исследователя безопасности ESET Ромена Дюмонта, эта группа постоянно обновляет свой инструментарий для обхода систем защиты и масштабного сбора данных.
В атаках CeranaKeeper задействуются бэкдоры и инструменты эксфильтрации, позволяющие быстро получать доступ к различным системам и собирать большие объёмы информации. По мнению экспертов, агрессивный подход группировки проявляется в её способности быстро распространяться по заражённым системам и оперативно адаптировать свои методы.
Хотя первоначальные способы проникновения CeranaKeeper в системы остаются неизвестными, злоумышленники используют уже полученный доступ для проникновения в другие машины локальной сети. Некоторые из заражённых компьютеров превращаются в прокси-серверы или серверы обновлений для бэкдоров.
В атаках CeranaKeeper используются такие вредоносные программы, как TONESHELL, TONEINS и PUBLOAD, которые также связаны с хакерской группировкой Mustang Panda. Кроме того, CeranaKeeper применяет ряд новых инструментов для сбора данных:
Согласно аналитике ESET, хотя CeranaKeeper и Mustang Panda могут действовать независимо друг от друга, они, вероятно, имеют некоторый уровень информационного обмена или опираются на общие сторонние ресурсы, что характерно для кибергруппировок, связанных с Китаем.
Новая хакерская группировка CeranaKeeper, связанная с Китаем и нацеленная на кражу данных в Юго-Восточной Азии Для просмотра ссылки Войди
Группировка использует разнообразные методы и инструменты для сбора данных, среди которых злоупотребление легитимными сервисами облачного хранения и обмена файлами, такими как Dropbox и OneDrive. По словам исследователя безопасности ESET Ромена Дюмонта, эта группа постоянно обновляет свой инструментарий для обхода систем защиты и масштабного сбора данных.
В атаках CeranaKeeper задействуются бэкдоры и инструменты эксфильтрации, позволяющие быстро получать доступ к различным системам и собирать большие объёмы информации. По мнению экспертов, агрессивный подход группировки проявляется в её способности быстро распространяться по заражённым системам и оперативно адаптировать свои методы.
Хотя первоначальные способы проникновения CeranaKeeper в системы остаются неизвестными, злоумышленники используют уже полученный доступ для проникновения в другие машины локальной сети. Некоторые из заражённых компьютеров превращаются в прокси-серверы или серверы обновлений для бэкдоров.
В атаках CeranaKeeper используются такие вредоносные программы, как TONESHELL, TONEINS и PUBLOAD, которые также связаны с хакерской группировкой Mustang Panda. Кроме того, CeranaKeeper применяет ряд новых инструментов для сбора данных:
- WavyExfiller: Python-инструмент для загрузки данных, включая подключенные устройства, такие как USB и жёсткие диски, с эксфильтрацией через Dropbox и PixelDrain.
- DropboxFlop: Python-скрипт, являющийся модификацией обратной оболочки DropFlop, использующий Dropbox в качестве сервера управления и контроля.
- OneDoor: бэкдор на C++, применяющий API Microsoft OneDrive для выполнения команд и эксфильтрации файлов.
- BingoShell: Python-бэкдор, использующий возможности приватного репозитория на GitHub для создания скрытой обратной оболочки.
Согласно аналитике ESET, хотя CeranaKeeper и Mustang Panda могут действовать независимо друг от друга, они, вероятно, имеют некоторый уровень информационного обмена или опираются на общие сторонние ресурсы, что характерно для кибергруппировок, связанных с Китаем.
- Источник новости
- www.securitylab.ru
