I ricercatori di ESET, leader europeo globale nel mercato della cybersecurity, hanno scoperto diverse campagne mirate contro istituzioni governative in Thailandia che, a partire dal 2023, sono state in grado di esfiltrare enormi quantità di dati. Le campagne hanno sfruttato servizi di condivisione file legittimi come Dropbox, PixelDrain, GitHub e OneDrive. Sulla base dei rilievi effettuati, i ricercatori di ESET hanno deciso di tracciare questo cluster di attività come opera di un attore di minaccia specifico, che ESET ha denominato CeranaKeeper. Le numerose occorrenze della stringa “bectrl” nel codice dei tools del gruppo hanno ispirato il nome: un gioco di parole tra il termine “beekeeper” (apicoltore) e la specie di ape Apis Cerana, o ape asiatica del miele. ESET ha presentato i risultati ottenuti su CeranaKeeper e la compromissione in Thailandia alla conferenza Virus Bulletin 2024.
CeranaKeeper, responsabile di attacchi al governo thailandese, appare particolarmente agguerrito, con una moltitudine di strumenti e tecniche utilizzati in rapida e continua evoluzione. Gli operatori scrivono e riscrivono il proprio set di strumenti secondo necessità, reagendo rapidamente per evitare il rilevamento. L’obiettivo di questo gruppo è raccogliere il maggior numero possibile di file e a tal fine sviluppa componenti specifici. CeranaKeeper utilizza servizi cloud e di condivisione file per l’esfiltrazione, probabilmente contando sul fatto che il traffico verso questi servizi popolari sembri per lo più legittimo e più difficile da bloccare quando identificato.
CeranaKeeper è attivo almeno dall’inizio del 2022, e ha come obiettivo principale gli enti governativi in Asia, come Thailandia, Myanmar, Filippine, Giappone e Taiwan.
Gli attacchi in Thailandia hanno sfruttato versioni rivisitate di componenti precedentemente attribuiti da altri ricercatori al gruppo APT allineato alla Cina, MustangPanda, e successivamente un nuovo set di strumenti capace di violare service provider come Pastebin, Dropbox, OneDrive e GitHub per eseguire comandi su computer compromessi ed esfiltrare documenti sensibili. Tuttavia, l’analisi delle tattiche, delle tecniche, delle procedure, del codice e delle discrepanze infrastrutturali ha portato ESET a ritenere necessario considerare CeranaKeeper e MustangPanda come due entità separate. Entrambi i gruppi allineati alla Cina potrebbero condividere informazioni e un sottoinsieme di strumenti per un interesse comune o tramite una terza parte.
“Nonostante alcune somiglianze nelle loro attività, come obiettivi comuni e formati di archivi simili, ESET ha osservato differenze organizzative e tecniche tra i due gruppi, ad esempio nei set di strumenti, infrastrutture, procedure e campagne. Abbiamo anche notato differenze nel modo in cui i due gruppi svolgono compiti simili”, spiega Romain Dumont, ricercatore di ESET che ha scoperto CeranaKeeper.
CeranaKeeper probabilmente utilizza un set di strumenti documentato pubblicamente chiamato “bespoke stagers” (o TONESHELL), che fa ampio uso di una tecnica di side-loading e utilizza una specifica sequenza di comandi per esfiltrare file da una rete compromessa. Nelle attività svolte, CeranaKeeper impiega componenti noti per essere esclusivi del gruppo e di loro esclusivo utilizzo. Inoltre, il gruppo ha lasciato alcuni metadati nel proprio codice che hanno fornito a ESET ulteriori informazioni sul processo di sviluppo, consolidando ulteriormente l’attribuzione a CeranaKeeper.
Dopo aver ottenuto un accesso privilegiato, gli attaccanti hanno installato la backdoor TONESHELL, distribuito uno strumento per eseguire il dump delle credenziali e utilizzato un driver Avast legittimo e un’applicazione personalizzata per disabilitare i prodotti di sicurezza presenti sulla macchina. Dal server compromesso, hanno utilizzato una console di amministrazione remota per distribuire ed eseguire la loro backdoor su altri computer della rete. Il gruppo ha distribuito un nuovo script BAT in tutta la rete, estendendo il proprio raggio d’azione ad altri computer sfruttando il controller di dominio per ottenere privilegi di Admin.
Nell’attacco contro il governo thailandese, gli attaccanti hanno individuato e selezionato alcuni computer compromessi di interesse per distribuire tools personalizzati precedentemente non documentati che sono stati utilizzati non solo per facilitare l’esfiltrazione di documenti verso servizi di archiviazione pubblici, ma anche come backdoor alternative. Una tecnica particolarmente degna di nota utilizzata dal gruppo sfrutta le funzioni di pull request e issue comment di GitHub per creare una reverse shell nascosta, sfruttando GitHub, una famosa piattaforma online per la condivisione e la collaborazione sul codice, come server di Command & Control (C&C).
