A kínai hátterű APT csoport a thaiföldi kormányzati adatokat célozta
A CeranaKeeper nevű, Kínával szövetséges kiberszereplő hatalmas adatszivárgási erőfeszítést szervezett Délkelet-Ázsiában, legutóbb Thaiföld kormányzati intézményei ellen indított kibertámadásokat. A csoport az ESET kutatói szerint 2022 eleje óta aktív. Az elemzés kimutatta, hogy a CeranaKeeper a Mustang Panda nevű, ismert, kínai hátterű APT-csoporttal közös komponenseket használt, emellett friss eszközöket is alkalmazott a legitim fájlmegosztó szolgáltatások, köztük a Pastebin, a Dropbox, a OneDrive és a GitHub kihasználására. „Megállapításaink alapján úgy döntöttünk, hogy ezt a tevékenységcsoportot egy különálló kiberszereplő munkájaként követjük nyomon” – áll az ESET új jelentésében. „A [Bb]ectrl karakterlánc számos előfordulása a csoport eszközeinek kódjában arra inspirálta az ESET kutatóit, hogy CeranaKeeper névre kereszteljék el a csoportot(ez egy szójáték a méhész és az Apis Cerana, azaz az ázsiai mézelő méhfaj szavai között).” A CeranaKeeper egy helyi hálózati DC szerver elleni brute-force támadással tört be a thaiföldi kormányzati rendszerekbe 2023 közepén – közölte az ESET. Onnan a csoport képes volt jogosultsági hozzáférést szerezni, a Toneshell backdoor-t és egy hitelesítő adatok begyűjtő eszközt telepíteni, valamint visszaélni egy legitim Avast illesztőprogrammal a végpontvédelem kikapcsolásához. Miután kényelmesen bejutott a hálózatba, a csoport masszív adatgyűjtésbe kezdett, figyelte meg az ESET. A kínai kormány a Mustang Pandához és a CeranaKeeperhez hasonló APT-csoportokat használ a kormányzati tevékenységek támogatására kémkedés és más kiberbűncselekmények révén.
