Un actor de amenazas previamente indocumentado llamado CeranaKeeper<\/strong> se ha relacionado con una serie de ataques de exfiltraci\u00f3n de datos dirigidos al sudeste asi\u00e1tico.<\/p>\n La empresa eslovaca de ciberseguridad ESET, que observ\u00f3 campa\u00f1as dirigidas a instituciones gubernamentales en Tailandia a partir de 2023, atribuy\u00f3 el grupo de actividades a estar alineado con China, aprovechando herramientas previamente identificadas como utilizadas por el actor Mustang Panda.<\/p>\n “El grupo actualiza constantemente su puerta trasera para evadir la detecci\u00f3n y diversifica sus m\u00e9todos para ayudar a la filtraci\u00f3n masiva de datos”, afirma el investigador de seguridad Romain Dumont. dicho<\/a> en un an\u00e1lisis publicado hoy.<\/p>\n “CeranaKeeper abusa de servicios populares y leg\u00edtimos de intercambio de archivos y en la nube, como Dropbox y OneDrive, para implementar puertas traseras personalizadas y herramientas de extracci\u00f3n”.<\/p>\n Algunos de los otros pa\u00edses objetivo del adversario incluyen Myanmar, Filipinas, Jap\u00f3n y Taiw\u00e1n, todos los cuales han sido objetivo de actores de amenazas patrocinados por el Estado chino en los \u00faltimos a\u00f1os.<\/p>\n ESET describi\u00f3 a CeranaKeeper como implacable, creativo y capaz de adaptar r\u00e1pidamente su modus operandi, al mismo tiempo que lo llam\u00f3 agresivo y codicioso por su capacidad para moverse lateralmente a trav\u00e9s de entornos comprometidos y aspirar tanta informaci\u00f3n como sea posible a trav\u00e9s de varias puertas traseras y herramientas de exfiltraci\u00f3n.<\/p>\n “Su uso extensivo de expresiones comod\u00edn para atravesar, a veces, unidades enteras mostr\u00f3 claramente que su objetivo era el desv\u00edo masivo de datos”, dijo la compa\u00f1\u00eda.<\/p>\n A\u00fan se desconocen las rutas de acceso iniciales exactas empleadas por el actor de amenazas. Sin embargo, se abusa de un punto de apoyo inicial exitoso para obtener acceso a otras m\u00e1quinas en la red local, incluso convirtiendo algunas de las m\u00e1quinas comprometidas en servidores proxy o servidores de actualizaci\u00f3n para almacenar actualizaciones para su puerta trasera.<\/p>\n Los ataques se caracterizan por el uso de familias de malware como TONESHELL, TONEINS y PUBLOAD, todos atribuidos al grupo Mustang Panda, y al mismo tiempo hacen uso de un arsenal de herramientas nunca antes vistas para ayudar a la filtraci\u00f3n de datos.<\/p>\n “Despu\u00e9s de obtener acceso privilegiado, los atacantes instalaron la puerta trasera TONESHELL, implementaron una herramienta para deshacerse de las credenciales y utilizaron un controlador Avast leg\u00edtimo y una aplicaci\u00f3n personalizada para desactivar los productos de seguridad en la m\u00e1quina”, dijo Dumont.<\/p>\n “Desde este servidor comprometido, utilizaron una consola de administraci\u00f3n remota para implementar y ejecutar su puerta trasera en otras computadoras de la red. Adem\u00e1s, CeranaKeeper us\u00f3 el servidor comprometido para almacenar actualizaciones para TONESHELL, convirti\u00e9ndolo en un servidor de actualizaciones”.<\/p>\n El conjunto de herramientas personalizado recientemente descubierto es el siguiente:<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/CeranaKeeper-vinculada-a-China-apunta-al-sudeste-asiatico-con-filtracion.png\")
<\/a><\/center><\/div>\n\n
\n
\n