- Les chercheurs d'ESET ont découvert un nouveau groupe de menaces de persistance avancée (APT) aligné sur la Chine, CeranaKeeper, ciblant des organismes gouvernementaux thaïlandais. Une partie de son arsenal a précédemment été attribuée à Mustang Panda par d'autres analystes.
- Les opérations menées par CeranaKeeper ont abouti à une exfiltration massive de données sensibles.
- Le groupe APT démontre une agilité opérationnelle importante, avec des mises à jour fréquentes de ses backdoors pour contrer leur détection.
- CeranaKeeper exploite des services cloud et de partage de fichiers légitimes et populaires (Dropbox, GitHub, OneDrive) comme vecteurs de déploiement pour ses backdoors et ses outils d'exfiltration sur mesure.
Les chercheurs d'ESET ont identifié plusieurs opérations de cyberattaques ciblant des organismes gouvernementaux thaïlandais dès 2023, impliquant une exfiltration massive de données. Les attaquants ont détourné des services cloud légitimes comme Dropbox, PixelDrain, GitHub et OneDrive pour leurs opérations. À la suite de cette découverte, ESET a attribué ces activités à un nouvel acteur malveillant baptisé CeranaKeeper. Ce nom fait référence à la chaîne "bectrl" récurrente dans le code malveillant, évoquant l'apiculture et l'abeille asiatique Apis Cerana. ESET a présenté ses conclusions sur CeranaKeeper lors de la conférence Virus Bulletin 2024.
CeranaKeeper, l'APT responsable des attaques contre le gouvernement thaïlandais, se montre particulièrement tenace. Son arsenal d'outils et de TTPs évolue rapidement pour contrer leur détection. Les opérateurs développent et modifient constamment leurs malwares selon les besoins. L'objectif principal du groupe est l'exfiltration massive de fichiers, avec des composants spécifiquement conçus à cet effet. CeranaKeeper exploite des services cloud pour l'exfiltration, profitant de la difficulté à bloquer le trafic vers ces plateformes légitimes.
Les activités de CeranaKeeper remontent au moins à début 2022. Le groupe cible principalement des entités gouvernementales en Asie, notamment en Thaïlande, au Myanmar, aux Philippines, au Japon et à Taïwan.
Les cyberattaques en Thaïlande ont utilisé des variantes de composants précédemment attribués à l'APT chinois MustangPanda, ainsi qu'un nouvel arsenal exploitant Pastebin, Dropbox, OneDrive et GitHub pour leur serveur de commande (C2) et l'exfiltration de données sensibles. Malgré ces similitudes, l'analyse des TTPs, du code et des infrastructures a conduit ESET à considérer CeranaKeeper et MustangPanda comme des entités distinctes. Ces deux groupes pro-chinois pourraient partager des ressources et des outils, soit par intérêt commun, soit via un intermédiaire.
Romain Dumont, chercheur qui a découvert CeranaKeeper, explique : « Bien que certaines similitudes existent dans leurs opérations, notamment au niveau des cibles de DLL sideloading et du format d'archive, nous avons identifié des différences organisationnelles et techniques significatives entre CeranaKeeper et MustangPanda. Ces divergences se manifestent dans leurs toolkits, leurs infrastructures, leurs TTPs et leurs campagnes. Nous avons également noté des approches distinctes dans l'exécution de tâches similaires. »
CeranaKeeper exploite probablement le toolkit "Bespoke Stagers" (ou TONESHELL), documenté publiquement. Ce toolkit repose largement sur des techniques de DLL sideloading et utilise une séquence spécifique de commandes pour l'exfiltration de données. Dans ses opérations, CeranaKeeper déploie des composants uniques à son groupe. De plus, les métadonnées laissées dans le code ont fourni à ESET des informations sur le processus de développement du groupe, renforçant l'attribution à CeranaKeeper.
Après avoir obtenu un accès privilégié, les attaquants ont procédé à l'installation de la backdoor TONESHELL, au déploiement d'un outil de credential dumping, et à l'utilisation d'un driver Avast légitime, couplé à une application sur mesure pour neutraliser les solutions de sécurité. À partir du serveur compromis, ils ont utilisé une console d'administration à distance pour déployer et exécuter leur backdoor sur d'autres machines du réseau. Le groupe a ensuite déployé un nouveau script BAT à l'échelle du réseau, étendant sa compromission en exploitant le contrôleur de domaine pour obtenir des privilèges d'administrateur de domaine.
Lors de l'attaque contre le gouvernement thaïlandais, les cybercriminels ont identifié et sélectionné certaines machines compromises jugées intéressantes pour y déployer des outils personnalisés non documentés auparavant. Ces outils ont servi non seulement à faciliter l'exfiltration de documents vers des services de stockage public, mais sont aussi des backdoors alternatives. Une technique notable employée par le groupe consiste en l'utilisation des fonctionnalités de pull request et de commentaires d'issues de GitHub pour créer un reverse shell furtif, détournant ainsi la plateforme comme serveur C2.
Pour une analyse détaillée et technique de l’arsenal et des TTPs de CeranaKeeper, consultez le livre blanc d'ESET Research "CeranaKeeper : un groupe implacable et changeant qui cible la Thaïlande” sur WeLiveSecurity.com.
Contact Presse :
Laura PACCAGNELLA : +33 01 55 89 08 88 - laura.p@eset-nod32.fr
Ines KHELIFI : +33 01 55 89 29 30 - ines.k@eset-nod32.fr
À propos d'ESET
Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique pour protéger le patrimoine numérique des entreprises, les infrastructures critiques et les consommateurs du monde entier contre des cybermenaces. Nous protégeons les terminaux fixes et mobiles, les outils collaboratifs et assurons la détection et le traitement des incidents. Établit dans le monde entier, nos centres de R&D récoltent et analysent les cybermenaces pour protéger nos clients et notre monde numérique.
Pour plus d’informations, consultez www.eset.com/na
et suivez-nous sur LinkedIn, Facebook et Instagram.