Эксперты ESET Research выявили новую угрозу для государственного сектора Азии, присвоив злоумышленникам название CeranaKeeper. Согласно отчету APT Activity Report, эта группа, предположительно связанная с Китаем, специализируется на целевых атаках против правительственных структур Таиланда. Интересно, что первоначально некоторые инструменты ассоциировались с известной группировкой Mustang Panda. Тем не менее, дальнейший анализ показал существенные различия в инфраструктуре и тактике.
Описание
CeranaKeeper демонстрирует высокую адаптивность, систематически модернизируя свои инструменты с 2022 года. В частности, они активно используют легитимные облачные сервисы: Dropbox и OneDrive применяются для доставки бэкдоров, а GitHub функционирует в качестве нестандартного сервера C2. Кроме того, атакующие разработали уникальные компоненты, включая TONEINS, TONESHELL и PUBLOAD. Такой подход позволяет им маскировать вредоносную активность под обычный сетевой трафик.
География атак охватывает не только Таиланд, но и Мьянму, Филиппины, Японию, а также Тайвань. Основной целью группы остается хищение конфиденциальных данных. Для этого CeranaKeeper внедряет многоэтапные схемы, например, создает обратные оболочки через API GitHub и использует временные модули для массового сбора файлов. Стоит отметить, что их методы исключают долговременное присутствие в системах, что осложняет обнаружение.
На конференции Virus Bulletin исследователи ESET подчеркнули операционную автономность CeranaKeeper. Хотя ранее инструменты ошибочно связывали с Mustang Panda, различия проявляются в архитектуре атак. Например, CeranaKeeper избегает шаблонных сценариев, характерных для других APT-групп. Вместо этого они комбинируют легитимные сервисы с кастомными разработками, минимизируя цифровые следы.
Уникальность группы подтверждается и механизмами эксфильтрации: данные передаются через зашифрованные каналы в облачных хранилищах. При этом злоумышленники постоянно тестируют новые векторы, как демонстрирует недавнее использование GitHub для управления компрометированными устройствами. Тактика указывает на профессионализм и ресурсную базу, типичную для государственно-спонсируемых операций.
Таким образом, CeranaKeeper представляет растущую угрозу для государственных институтов Азиатско-Тихоокеанского региона. Их способность быстро адаптировать инструментарий под новые условия выделяет группу среди аналогичных акторов. Детализация методов в отчете ESET помогает улучшить понимание современных APT-тенденций, особенно в части эксплуатации легальных веб-сервисов.
Индикаторы компрометации
IPv4
- 103.245.165.237
- 103.27.202.185
- 104.21.81.233
- 172.67.165.197
Domains
- dljmp2p.com
- inly5sf.com
- www.dl6yfsl.com
- www.toptipvideo.com
- www.uvfr4ep.com
SHA256
- 24e12b8b1255df4e6619ed1a6ae1c75b17341eef7418450e661b74b144570017
- 3f81d1e70d9ee39c83b582ac3bcc1cdfe038f5da31331cdbcd4ff1a2d15bb7c8
- 451ee465675e674cebe3c42ed41356ae2c972703e1dc7800a187426a6b34efdc
- 6655c5686b9b0292cf5121fc6346341bb888704b421a85a15011456a9a2c192a
- b15ba83681c4d2c2716602615288b7e64a1d4a9f4805779cebdf5e6c2399afb5
- b25c79ba507a256c9ca12a9bd34def6a33f9c087578c03d083d7863c708eca21
- dafad19900fff383c2790e017c958a1e92e84f7bb159a2a7136923b715a4c94f
- e6ab24b826c034a6d9e152673b91159201577a3a9d626776f95222f01b7c21db
- e7b6164b6ec7b7552c93713403507b531f625a8c64d36b60d660d66e82646696