CeranaKeeper: Китайская APT-группа атакует правительственные системы Азии

security

Эксперты ESET Research выявили новую угрозу для государственного сектора Азии, присвоив злоумышленникам название CeranaKeeper. Согласно отчету APT Activity Report, эта группа, предположительно связанная с Китаем, специализируется на целевых атаках против правительственных структур Таиланда. Интересно, что первоначально некоторые инструменты ассоциировались с известной группировкой Mustang Panda. Тем не менее, дальнейший анализ показал существенные различия в инфраструктуре и тактике.

Описание

CeranaKeeper демонстрирует высокую адаптивность, систематически модернизируя свои инструменты с 2022 года. В частности, они активно используют легитимные облачные сервисы: Dropbox и OneDrive применяются для доставки бэкдоров, а GitHub функционирует в качестве нестандартного сервера C2. Кроме того, атакующие разработали уникальные компоненты, включая TONEINS, TONESHELL и PUBLOAD. Такой подход позволяет им маскировать вредоносную активность под обычный сетевой трафик.

География атак охватывает не только Таиланд, но и Мьянму, Филиппины, Японию, а также Тайвань. Основной целью группы остается хищение конфиденциальных данных. Для этого CeranaKeeper внедряет многоэтапные схемы, например, создает обратные оболочки через API GitHub и использует временные модули для массового сбора файлов. Стоит отметить, что их методы исключают долговременное присутствие в системах, что осложняет обнаружение.

На конференции Virus Bulletin исследователи ESET подчеркнули операционную автономность CeranaKeeper. Хотя ранее инструменты ошибочно связывали с Mustang Panda, различия проявляются в архитектуре атак. Например, CeranaKeeper избегает шаблонных сценариев, характерных для других APT-групп. Вместо этого они комбинируют легитимные сервисы с кастомными разработками, минимизируя цифровые следы.

Уникальность группы подтверждается и механизмами эксфильтрации: данные передаются через зашифрованные каналы в облачных хранилищах. При этом злоумышленники постоянно тестируют новые векторы, как демонстрирует недавнее использование GitHub для управления компрометированными устройствами. Тактика указывает на профессионализм и ресурсную базу, типичную для государственно-спонсируемых операций.

Таким образом, CeranaKeeper представляет растущую угрозу для государственных институтов Азиатско-Тихоокеанского региона. Их способность быстро адаптировать инструментарий под новые условия выделяет группу среди аналогичных акторов. Детализация методов в отчете ESET помогает улучшить понимание современных APT-тенденций, особенно в части эксплуатации легальных веб-сервисов.

Индикаторы компрометации

IPv4

  • 103.245.165.237
  • 103.27.202.185
  • 104.21.81.233
  • 172.67.165.197

Domains

  • dljmp2p.com
  • inly5sf.com
  • www.dl6yfsl.com
  • www.toptipvideo.com
  • www.uvfr4ep.com

SHA256

  • 24e12b8b1255df4e6619ed1a6ae1c75b17341eef7418450e661b74b144570017
  • 3f81d1e70d9ee39c83b582ac3bcc1cdfe038f5da31331cdbcd4ff1a2d15bb7c8
  • 451ee465675e674cebe3c42ed41356ae2c972703e1dc7800a187426a6b34efdc
  • 6655c5686b9b0292cf5121fc6346341bb888704b421a85a15011456a9a2c192a
  • b15ba83681c4d2c2716602615288b7e64a1d4a9f4805779cebdf5e6c2399afb5
  • b25c79ba507a256c9ca12a9bd34def6a33f9c087578c03d083d7863c708eca21
  • dafad19900fff383c2790e017c958a1e92e84f7bb159a2a7136923b715a4c94f
  • e6ab24b826c034a6d9e152673b91159201577a3a9d626776f95222f01b7c21db
  • e7b6164b6ec7b7552c93713403507b531f625a8c64d36b60d660d66e82646696
Комментарии: 0