Исследователи из ESET Research обнаружили новую группу злоумышленников, названную CeranaKeeper, связанную с Китаем, которая осуществляет атаки на правительственные учреждения в Таиланде. Ранее, некоторые инструменты, используемые этой группой, были приписаны группировке Mustang Panda. CeranaKeeper постоянно обновляет свои инструменты и методы, используя популярные облачные и файлообменные сервисы, такие как Dropbox и OneDrive, для внедрения бэкдоров и утечки данных. Они также используют платформу GitHub в качестве сервера управления и контроля зараженными компьютерами.
CeranaKeeper APT
Группа CeranaKeeper начала свою активность с 2022 года и в основном нацелена на правительственные организации в Таиланде, Мьянме, Филиппинах, Японии и Тайване. Они проявляют особый интерес к утечке данных и используют широкий спектр инструментов для извлечения информации из взломанных сетей. CeranaKeeper разрабатывает новые методы, такие как использование функций GitHub для создания обратных оболочек и временные компоненты для сбора множества файлов.
ESET Research подробно анализирует группу CeranaKeeper и дает свои выводы в отчете APT Activity Report. Они также представили свои результаты на конференции Virus Bulletin. CeranaKeeper была предварительно приписана группе Mustang Panda, но исследователи ESET считают, что эти две группы имеют существенные различия в своей инфраструктуре и методах атаки. CeranaKeeper использует уникальные компоненты, такие как TONEINS, TONESHELL и PUBLOAD, и их деятельность явно отличается от Mustang Panda.
Indicators of Compromise
IPv4
- 103.245.165.237
- 103.27.202.185
- 104.21.81.233
- 172.67.165.197
Domains
- dljmp2p.com
- inly5sf.com
- www.dl6yfsl.com
- www.toptipvideo.com
- www.uvfr4ep.com
SHA256
- 24e12b8b1255df4e6619ed1a6ae1c75b17341eef7418450e661b74b144570017
- 3f81d1e70d9ee39c83b582ac3bcc1cdfe038f5da31331cdbcd4ff1a2d15bb7c8
- 451ee465675e674cebe3c42ed41356ae2c972703e1dc7800a187426a6b34efdc
- 6655c5686b9b0292cf5121fc6346341bb888704b421a85a15011456a9a2c192a
- b15ba83681c4d2c2716602615288b7e64a1d4a9f4805779cebdf5e6c2399afb5
- b25c79ba507a256c9ca12a9bd34def6a33f9c087578c03d083d7863c708eca21
- dafad19900fff383c2790e017c958a1e92e84f7bb159a2a7136923b715a4c94f
- e6ab24b826c034a6d9e152673b91159201577a3a9d626776f95222f01b7c21db
- e7b6164b6ec7b7552c93713403507b531f625a8c64d36b60d660d66e82646696