- Les chercheurs d'ESET ont découvert un nouveau groupe de menaces de persistance avancée (APT) aligné sur la Chine, CeranaKeeper, ciblant des organismes gouvernementaux thaïlandais. Une partie de son arsenal a précédemment été attribuée à Mustang Panda par d'autres analystes.
- Les opérations menées par CeranaKeeper ont abouti à une exfiltration massive de données sensibles.
- Le groupe APT démontre une agilité opérationnelle importante, avec des mises à jour fréquentes de ses backdoors pour contrer leur détection.
- CeranaKeeper exploite des services cloud et de partage de fichiers légitimes et populaires (Dropbox, GitHub, OneDrive) comme vecteurs de déploiement pour ses backdoors et ses outils d'exfiltration sur mesure.
Les chercheurs d'ESET ont identifié plusieurs opérations de cyberattaques ciblant des organismes gouvernementaux thaïlandais dès 2023, impliquant une exfiltration massive de données. Les attaquants ont détourné des services cloud légitimes comme Dropbox, PixelDrain, GitHub et OneDrive pour leurs opérations. À la suite de cette découverte, ESET a attribué ces activités à un nouvel acteur malveillant baptisé CeranaKeeper. Ce nom fait référence à la chaîne "bectrl" récurrente dans le code malveillant, évoquant l'apiculture et l'abeille asiatique Apis Cerana. ESET a présenté ses conclusions sur CeranaKeeper lors de la conférence Virus Bulletin 2024.
CeranaKeeper, l'APT responsable des attaques contre le gouvernement thaïlandais, se montre particulièrement tenace. Son arsenal d'outils et de TTPs évolue rapidement pour contrer leur détection. Les opérateurs développent et modifient constamment leurs malwares selon les besoins. L'objectif principal du groupe est l'exfiltration massive de fichiers, avec des composants spécifiquement conçus à cet effet. CeranaKeeper exploite des services cloud pour l'exfiltration, profitant de la difficulté à bloquer le trafic vers ces plateformes légitimes.
Les activités de CeranaKeeper remontent au moins à début 2022. Le groupe cible principalement des entités gouvernementales en Asie, notamment en Thaïlande, au Myanmar, aux Philippines, au Japon et à Taïwan.
Les cyberattaques en Thaïlande ont utilisé des variantes de composants précédemment attribués à l'APT chinois MustangPanda, ainsi qu'un nouvel arsenal exploitant Pastebin, Dropbox, OneDrive et GitHub pour leur serveur de commande (C2) et l'exfiltration de données sensibles. Malgré ces similitudes, l'analyse des TTPs, du code et des infrastructures a conduit ESET à considérer CeranaKeeper et MustangPanda comme des entités distinctes. Ces deux groupes pro-chinois pourraient partager des ressources et des outils, soit par intérêt commun, soit via un intermédiaire.
Romain Dumont, chercheur qui a découvert CeranaKeeper, explique : « Bien que certaines similitudes existent dans leurs opérations, notamment au niveau des cibles de DLL sideloading et du format d'archive, nous avons identifié des différences organisationnelles et techniques significatives entre CeranaKeeper et MustangPanda. Ces divergences se manifestent dans leurs toolkits, leurs infrastructures, leurs TTPs et leurs campagnes. Nous avons également noté des approches distinctes dans l'exécution de tâches similaires. »
CeranaKeeper exploite probablement le toolkit "Bespoke Stagers" (ou TONESHELL), documenté publiquement. Ce toolkit repose largement sur des techniques de DLL sideloading et utilise une séquence spécifique de commandes pour l'exfiltration de données. Dans ses opérations, CeranaKeeper déploie des composants uniques à son groupe. De plus, les métadonnées laissées dans le code ont fourni à ESET des informations sur le processus de développement du groupe, renforçant l'attribution à CeranaKeeper.
Après avoir obtenu un accès privilégié, les attaquants ont procédé à l'installation de la backdoor TONESHELL, au déploiement d'un outil de credential dumping, et à l'utilisation d'un driver Avast légitime, couplé à une application sur mesure pour neutraliser les solutions de sécurité. À partir du serveur compromis, ils ont utilisé une console d'administration à distance pour déployer et exécuter leur backdoor sur d'autres machines du réseau. Le groupe a ensuite déployé un nouveau script BAT à l'échelle du réseau, étendant sa compromission en exploitant le contrôleur de domaine pour obtenir des privilèges d'administrateur de domaine.
Lors de l'attaque contre le gouvernement thaïlandais, les cybercriminels ont identifié et sélectionné certaines machines compromises jugées intéressantes pour y déployer des outils personnalisés non documentés auparavant. Ces outils ont servi non seulement à faciliter l'exfiltration de documents vers des services de stockage public, mais sont aussi des backdoors alternatives. Une technique notable employée par le groupe consiste en l'utilisation des fonctionnalités de pull request et de commentaires d'issues de GitHub pour créer un reverse shell furtif, détournant ainsi la plateforme comme serveur C2.
Pour une analyse détaillée et technique de l’arsenal et des TTPs de CeranaKeeper, consultez le livre blanc d'ESET Research "CeranaKeeper : un groupe implacable et changeant qui cible la Thaïlande” sur WeLiveSecurity.com.
Contact Presse :
Jolya COHOUNDO : presse@eset-nod32.fr
À propos d'ESET
ESET, entreprise européenne de cybersécurité reconnue mondialement, se positionne comme un acteur majeur dans la protection numérique grâce à une approche technologique innovante et complète. Fondée en Europe et disposant de bureaux internationaux, ESET combine la puissance de l'intelligence artificielle et l'expertise humaine pour développer des solutions de sécurité avancées, capables de prévenir et contrer efficacement les cybermenaces émergentes, connues et inconnues. Ses technologies, entièrement conçues dans l'UE, couvrent la protection des terminaux, du cloud et des systèmes mobiles, et se distinguent par leur robustesse, leur efficacité et leur facilité d'utilisation, offrant ainsi une défense en temps réel 24/7 aux entreprises, infrastructures critiques et utilisateurs individuels. Grâce à ses centres de recherche et développement et son réseau mondial de partenaires, ESET propose des solutions de cybersécurité intégrant un chiffrement ultra-sécurisé, une authentification multifactorielle et des renseignements approfondis sur les menaces, s'adaptant constamment à l'évolution rapide du paysage numérique.
Pour plus d’informations, consultez www.eset.com/fr
et suivez-nous sur LinkedIn, Facebook et Instagram.