Daha önce belgelenmemiş bir tehdit aktörü aradı Cerana Kaleci Güneydoğu Asya’yı hedef alan bir dizi veri sızıntısı saldırısıyla ilişkilendirildi.
2023’ten itibaren Tayland’daki devlet kurumlarını hedef alan kampanyaları gözlemleyen Slovak siber güvenlik firması ESET, faaliyet kümesinin daha önce Mustang Panda aktörü tarafından kullanıldığı belirlenen araçlardan yararlanarak Çin’e uygun olduğunu belirtti.
Güvenlik araştırmacısı Romain Dumont bugün yayınlanan bir analizde, “Grup, tespit edilmekten kaçınmak için arka kapısını sürekli olarak güncelliyor ve büyük miktarda veri sızıntısına yardımcı olmak için yöntemlerini çeşitlendiriyor.” dedi.
“CeranaKeeper, özel arka kapılar ve çıkarma araçları uygulamak için Dropbox ve OneDrive gibi popüler, meşru bulut ve dosya paylaşım hizmetlerini kötüye kullanıyor.”
Düşmanın hedef aldığı diğer ülkelerden bazıları arasında Myanmar, Filipinler, Japonya ve Tayvan yer alıyor ve bunların tümü son yıllarda Çin devleti destekli tehdit aktörlerinin hedefi oldu.
ESET, CeranaKeeper’ı amansız, yaratıcı ve işleyiş biçimini hızlı bir şekilde adapte edebilen bir kişi olarak tanımlarken, aynı zamanda tehlikeye atılmış ortamlarda yanal olarak hareket etme ve çeşitli arka kapılar ve sızma araçları aracılığıyla mümkün olduğunca fazla bilgi toplama yeteneği nedeniyle onu agresif ve açgözlü olarak nitelendirdi.
Şirket, “Bazen tüm sürücülerin arasında geçiş yapmak için joker ifadelerin yaygın şekilde kullanılması, amaçlarının büyük miktarda veri sifonlamak olduğunu açıkça gösterdi” dedi.
Tehdit aktörünün kullandığı ilk erişim yolları henüz bilinmiyor. Bununla birlikte, başarılı bir başlangıç noktası, yerel ağdaki diğer makinelere erişim sağlamak için kötüye kullanılır, hatta ele geçirilen makinelerin bir kısmı proxy’lere veya arka kapıları için güncellemeleri depolamak üzere güncelleme sunucularına dönüştürülür.
Saldırılar, tümü Mustang Panda grubuna atfedilen TONESHELL, TONEINS ve PUBLOAD gibi kötü amaçlı yazılım ailelerinin kullanımıyla karakterize edilirken aynı zamanda veri sızmasına yardımcı olmak için daha önce hiç görülmemiş araçlardan oluşan bir cephanelikten de yararlanılıyor.
Dumont, “Ayrıcalıklı erişim elde ettikten sonra, saldırganlar TONESHELL arka kapısını kurdular, kimlik bilgilerini boşaltmak için bir araç kullandılar ve makinedeki güvenlik ürünlerini devre dışı bırakmak için meşru bir Avast sürücüsü ve özel bir uygulama kullandılar” dedi.
“Ele geçirilen bu sunucudan, arka kapılarını ağdaki diğer bilgisayarlara dağıtmak ve yürütmek için bir uzaktan yönetim konsolu kullandılar. Ayrıca CeranaKeeper, ele geçirilen sunucuyu TONESHELL için güncellemeleri depolamak için kullandı ve onu bir güncelleme sunucusuna dönüştürdü.”
Yeni keşfedilen özel araç seti aşağıdaki gibidir:
- WavyExfiller – USB’ler ve sabit sürücüler gibi bağlı cihazlar da dahil olmak üzere verileri toplayan ve sızıntı uç noktaları olarak Dropbox ve PixelDrain’i kullanan bir Python yükleyicisi
- DropboxFlop – Yükleme ve indirme özellikleriyle birlikte gelen ve Dropbox’ı bir komut ve kontrol (C&C) sunucusu olarak kullanan, DropFlop adı verilen, halka açık bir ters kabuğun çeşidi olan bir Python DropboxFlop
- BingoShell – GitHub’ın çekme isteğini kötüye kullanan ve gizli bir ters kabuk oluşturmak için yorum özellikleri yayınlayan bir Python arka kapısı
“Üst düzey bir bakış açısından, [BingoShell] ESET, bir C&C sunucusu olarak özel bir GitHub deposundan yararlandığını açıkladı. “Komut dosyası, kimlik doğrulamak için sabit kodlu bir belirteç kullanır ve sonuçları yürütmek ve geri göndermek için komutları almak üzere çekme istekleri ve yorum özellikleri yayınlar.”
CeranaKeeper’ın tespitten kaçınmak için araç setini gerektiği gibi hızlı bir şekilde yazma ve yeniden yazma becerisine dikkat çeken şirket, tehdit aktörünün nihai hedefinin, büyük ölçekte değerli bilgiler toplamasına olanak tanıyan özel kötü amaçlı yazılım geliştirmek olduğunu söyledi.
“Mustang Panda ve CeranaKeeper birbirlerinden bağımsız çalışıyor gibi görünüyor ve her birinin kendi araç seti var” dedi. “Her iki tehdit aktörü de Çin’e yakın gruplar arasında alışılmadık bir durum olan dijital malzeme sorumlusu gibi aynı üçüncü tarafa güvenebilir veya belirli düzeyde bilgi paylaşımına sahip olabilir, bu da gözlemlenen bağlantıları açıklayabilir.”