Un acteur menaçant jusqu’alors sans papiers appelé CeranaKeeper a été lié à une série d’attaques d’exfiltration de données ciblant l’Asie du Sud-Est.
La société slovaque de cybersécurité ESET, qui a observé des campagnes ciblant les institutions gouvernementales en Thaïlande à partir de 2023, a attribué le cluster d’activités comme étant aligné sur la Chine, en exploitant des outils précédemment identifiés comme étant utilisés par l’acteur Mustang Panda.
« Le groupe met constamment à jour sa porte dérobée pour échapper à la détection et diversifie ses méthodes pour faciliter l’exfiltration massive de données », explique le chercheur en sécurité Romain Dumont. dit dans une analyse publiée aujourd’hui.
« CeranaKeeper abuse des services de cloud et de partage de fichiers populaires et légitimes tels que Dropbox et OneDrive pour mettre en œuvre des portes dérobées et des outils d’extraction personnalisés. »
Parmi les autres pays ciblés par l’adversaire figurent le Myanmar, les Philippines, le Japon et Taïwan, qui ont tous été la cible d’acteurs menaçants parrainés par l’État chinois ces dernières années.
ESET a décrit CeranaKeeper comme implacable, créatif et capable d’adapter rapidement son mode opératoire, tout en le qualifiant d’agressif et de cupide pour sa capacité à se déplacer latéralement à travers des environnements compromis et à aspirer autant d’informations que possible via diverses portes dérobées et outils d’exfiltration.
« Leur utilisation intensive d’expressions génériques pour parcourir, parfois, des disques entiers a clairement montré que leur objectif était un siphonnage massif de données », a déclaré la société.
Les voies d’accès initiales exactes utilisées par l’acteur menaçant restent encore inconnues. Cependant, une présence initiale réussie est abusée pour accéder à d’autres machines sur le réseau local, transformant même certaines des machines compromises en proxys ou en serveurs de mise à jour pour stocker les mises à jour pour leur porte dérobée.
Les attaques se caractérisent par l’utilisation de familles de malwares telles que TONESHELL, TONEINS et PUBLOAD – tous attribués au groupe Mustang Panda – tout en utilisant un arsenal d’outils inédits pour faciliter l’exfiltration de données.
« Après avoir obtenu un accès privilégié, les attaquants ont installé la porte dérobée TONESHELL, déployé un outil pour vider les informations d’identification et utilisé un pilote Avast légitime et une application personnalisée pour désactiver les produits de sécurité sur la machine », a déclaré Dumont.
« À partir de ce serveur compromis, ils ont utilisé une console d’administration à distance pour déployer et exécuter leur porte dérobée sur d’autres ordinateurs du réseau. De plus, CeranaKeeper a utilisé le serveur compromis pour stocker les mises à jour de TONESHELL, le transformant ainsi en serveur de mise à jour. »
L’ensemble d’outils personnalisés nouvellement découvert est le suivant :
- WavyExfiller – Un téléchargeur Python qui collecte des données, y compris des appareils connectés tels que des clés USB et des disques durs, et utilise Dropbox et PixelDrain comme points de terminaison d’exfiltration
- DropboxFlop – Un DropboxFlop Python qui est une variante d’un shell inversé accessible au public appelé DropFlop qui est livré avec des fonctionnalités de téléchargement et de téléchargement et utilise Dropbox comme serveur de commande et de contrôle (C&C)
- BingoShell – Une porte dérobée Python qui abuse de la demande d’extraction de GitHub et émet des fonctionnalités de commentaires pour créer un shell inversé furtif
« D’un point de vue de haut niveau, [BingoShell] exploite un référentiel GitHub privé en tant que serveur C&C », a expliqué ESET. « Le script utilise un jeton codé en dur pour s’authentifier et les demandes d’extraction et émet des fonctionnalités de commentaires pour recevoir des commandes pour exécuter et renvoyer les résultats. »
Soulignant la capacité de CeranaKeeper à écrire et réécrire rapidement son ensemble d’outils pour échapper à la détection, la société a déclaré que l’objectif final de l’acteur malveillant est de développer des logiciels malveillants sur mesure qui peuvent lui permettre de collecter des informations précieuses à grande échelle.
« Mustang Panda et CeranaKeeper semblent fonctionner indépendamment l’un de l’autre et chacun dispose de son propre ensemble d’outils », indique-t-il. « Les deux acteurs de la menace peuvent s’appuyer sur le même tiers, comme un quartier-maître numérique, ce qui n’est pas rare parmi les groupes alignés sur la Chine, ou avoir un certain niveau de partage d’informations, ce qui expliquerait les liens observés. »