Tayland’daki devlet kurumlarını hedef alan CeranaKeeper adlı yeni bir Çin bağlantılı gelişmiş kalıcı tehdit (APT) grubu keşfedildi.
Güvenlik araştırmacıları, Tayland’daki devlet kurumlarına karşı 2023 yılında başlayan ve büyük miktarda verinin sızdırıldığı birkaç hedefli kampanya keşfetti. Bu kampanyalarda Dropbox, PixelDrain, GitHub ve OneDrive gibi yasal dosya paylaşım hizmetleri kötüye kullanıldı.
Bulgulara dayanarak güvenlik araştırmacıları, bu etkinlik kümesine CeranaKeeper adı verildi. Grubun araçlarının kodunda “bectrl” dizesinin çok sayıda geçmesi, arıcı kelimesi ile arı türü Apis Cerana veya Asya bal arısı arasında bir kelime oyunu olan isme ilham verdi.
Tayland hükümetine yönelik saldırıların arkasındaki tehdit aktörü CeranaKeeper, grup tarafından kullanılan çok sayıda araç ve teknik hızla gelişmeye devam ettiği için özellikle acımasız görünüyor. Operatörler araç setlerini gerektiği gibi yeniden yazıyor ve tespit edilmekten kaçınmak için oldukça hızlı tepki veriyorlar.
Bu grubun amacı mümkün olduğunca çok dosya toplamak ve bu amaçla belirli bileşenler geliştiriyor. CeranaKeeper sızma için bulut ve dosya paylaşım hizmetlerini kullanıyor ve muhtemelen bu popüler hizmetlere yönelik trafiğin çoğunlukla meşru görüneceği ve tespit edildiğinde engellenmesinin daha zor olacağı gerçeğine güveniyor.
Uzmanlar CeranaKeeper’ın (en az) 2022’nin başından beri aktif olduğunu ve esas olarak Tayland, Myanmar, Filipinler, Japonya ve Tayvan gibi Asya’daki devlet kurumlarını hedeflediğini aktarıyorlar.
Tayland saldırıları, daha önce diğer araştırmacılar tarafından Çin bağlantılı APT grubu Mustang Panda’ya atfedilen bileşenlerin yenilenmiş sürümlerinden ve daha sonra ele geçirilen bilgisayarlarda komutları yürütmek ve hassas belgeleri dışarı çıkarmak için Pastebin, Dropbox, OneDrive ve GitHub gibi hizmet sağlayıcıları kötüye kullanan yeni bir araç setinden yararlandı.
Ancak taktikler, teknikler ve prosedürler, kod ve altyapı tutarsızlıklarının incelenmesi ECeranaKeeper ve MustangPanda’yı iki ayrı varlık olarak izlemenin gerekli olduğuna inanmasına yol açıyor. Çin’e bağlı her iki grup da ortak bir çıkar için ya da aynı üçüncü taraf aracılığıyla bilgi ve araç alt kümesi paylaşıyor olabilir.
Saldırganlar ayrıcalıklı erişim elde ettikten sonra TONESHELL arka kapısını kurdu. Kimlik bilgilerini boşaltmak için bir araç kullandı ve makinedeki güvenlik ürünlerini devre dışı bırakmak için yasal bir Avast sürücüsü ve özel bir uygulama kullandı.
Ele geçirilen bu sunucudan, ağdaki diğer bilgisayarlara arka kapılarını dağıtmak ve çalıştırmak için bir uzaktan yönetim konsolu kullandılar. Grup, ağ genelinde yeni bir BAT betiği dağıttı ve Etki Alanı Yöneticisi ayrıcalıkları elde etmek için etki alanı denetleyicisinden yararlanarak erişimlerini diğer makinelere genişletti.
Tayland hükümetine yönelik saldırıda, saldırganlar daha önce belgelenmemiş, özel araçları konuşlandırmak için yeterli ilgiye sahip birkaç tehlikeye atılmış bilgisayar bulmuş ve seçmiştir. Bu destek araçları yalnızca belgelerin halka açık depolama hizmetlerine sızmasını kolaylaştırmak için değil aynı zamanda alternatif arka kapılar olarak da kullanıldı.
Grubun kullandığı dikkate değer tekniklerden biri, kod paylaşımı ve iş birliği için popüler bir çevrimiçi platform olan GitHub’ın pull request ve sorun yorumu özelliklerini gizli bir ters kabuk oluşturmak için kullanarak GitHub’dan bir C&C sunucusu olarak faydalanmalarıdır.
