Çin’e bağlı yeni ortaya çıkan CeranaKeeper adlı tehdit aktörü, Güneydoğu Asya’da büyük bir veri sızıntısı girişimi düzenledi ve son olarak Tayland’daki hükümet kurumlarına karşı bir siber saldırı barajı başlattı.
ESET araştırmacılarına göre grup 2022’nin başından beri çalışıyor. Analiz, CeranaKeeper’ın bilinenlerle ortak bileşenleri kullandığını gösterdi Çin destekli APT grubu Mustang PandaPastebin, Dropbox, OneDrive ve GitHub gibi meşru dosya paylaşım hizmetlerini baltalamaya yönelik yeni araçlara ek olarak.
Yeni bir ESET raporunda, “Bulgularımıza dayanarak, bu faaliyet kümesini ayrı bir tehdit aktörünün işi olarak izlemeye karar verdik” denildi. “Dizenin sayısız oluşumu [Bb]Grubun araçlarının kodundaki ectrl bize onu CeranaKeeper olarak adlandırmamız için ilham verdi; arıcı ve arı türü Apis Cerana veya Asya bal arısı arasında yapılan bir kelime oyunudur.”
ESET, CeranaKeeper’ın 2023 ortalarında yerel alan ağı etki alanı kontrol sunucusuna kaba kuvvet saldırısı yoluyla Tayland hükümet sistemlerine sızdığını söyledi. Grup buradan ayrıcalıklı erişim elde edebildi, Toneshell arka kapısını ve kimlik bilgileri döküm aracını dağıtabildi ve ayrıca güvenlik korumalarını devre dışı bırakmak için meşru bir Avast sürücüsünü kötüye kullanabildi.
ESET’in gözlemlerine göre, ağa rahatça bağlandıktan sonra grup büyük bir veri toplama çabasına başladı.
Grup “amansız”dır, hızla gelişmektedir ve çeviktir. ESET uyardı.
ESET, “Operatörler, operasyonlarının gerektirdiği şekilde araç setlerini yazıp yeniden yazıyor ve tespit edilmekten kaçınmak için oldukça hızlı tepki veriyor” diye ekledi. “Bu grubun hedefi mümkün olduğu kadar çok dosyayı toplamak ve bu amaçla belirli bileşenler geliştiriyor.”
Çin hükümeti aşağıdaki gibi APT gruplarını kullanıyor: Mustang Panda ve CeranaKeeper aracılığıyla hükümet faaliyetlerini destekleyecekler. casusluk ve diğer siber suçlar.