Una investigación de ESET detalla las herramientas y actividades de un nueva organización china cuyo objetivo es la exfiltración masiva de datos confidenciales abusando de proveedores de servidores como Dropbox, OneDrive y Github.
La investigación reveló que estos ataques utilizaban componentes renovados del grupo de amenazas persistentes avanzadas (APT) Mustang Panda, de origen chino, e identificó un nuevo actor de amenazas, al que ESET denominó CeranaKeeper. Este nuevo actor abusa de proveedores de servicios como Pastebin, Dropbox, OneDrive y GitHub para ejecutar comandos en equipos comprometidos y filtrar documentos confidenciales.
CeranaKeeper ha estado activo al menos desde principios de 2022, dirigiéndose principalmente a entidades gubernamentales de países asiáticos como Tailandia, Myanmar, Filipinas, Japón y Taiwán. Los atacantes de este grupo despliegan una amplia gama de herramientas destinadas a extraer la mayor cantidad de información posible de las redes comprometidas.
Más allá de este descubrimiento, la investigación de ESET demostró que estos ciberatacantes abusan de servicios en la nube y de intercambio de archivos populares y legítimos para implementar backdoors y herramientas de extracción personalizadas. A su vez, se demostró que se utilizan las funciones de solicitud de extracción y comentario de problemas de GitHub para crear un shell inverso sigiloso.
“CeranaKeeper, el actor de la amenaza que está detrás de los ataques al gobierno tailandés, parece especialmente implacable, ya que la plétora de herramientas y técnicas que utiliza el grupo sigue evolucionando a gran velocidad. Los operadores escriben y reescriben su conjunto de herramientas según las necesidades de sus operaciones y reaccionan con bastante rapidez para seguir evitando ser detectados«, comenta Romain Dumont, Malware Researcher de ESET. Por otro lado, Dumont sostiene que el objetivo de este grupo es cosechar tantos archivos como sea posible y para ello desarrolla componentes específicos. “CeranaKeeper utiliza la nube y servicios de intercambio de archivos para la exfiltración y probablemente se basa en el hecho de que el tráfico a estos servicios populares en su mayoría parecería legítimo y sería más difícil de bloquear cuando se identifica.”, agregó el representante de ESET.
Desde ESET consideran que el uso de señuelos políticos y componentes PlugX es obra de MustangPanda. A pesar de algunas similitudes en sus actividades, como objetivos de carga lateral similares o el formato de archivo, observaron diferencias organizativas y técnicas entre los dos grupos. Por ejemplo, diferencias en sus conjuntos de herramientas, infraestructura, prácticas operativas y campañas.
“A lo largo de la investigación, ESET estableció fuertes conexiones entre los conjuntos de herramientas previamente documentados y los nuevos y un actor de amenazas común. La revisión de las tácticas, técnicas y procedimientos (TTP), el código y las discrepancias de infraestructura llevaron a creer que era necesario rastrear CeranaKeeper y MustangPanda como dos entidades separadas. Sin embargo, ambos grupos de origen chino podrían estar compartiendo información y un subconjunto de herramientas por un interés común o a través del mismo tercero”, agrega Dumont.
Para un análisis más detallado de las herramientas desplegadas por CeranaKeeper, se puede acceder al informe completo de ESET Research.
No hay comentarios:
Publicar un comentario