Sebuah entitas berbahaya di dunia siber bernama CeranaKeeper Mengincar Asia Tenggara sebagai target utama mereka untuk mencuri data berharga.
Pelaku yang sebelumnya tidak terdokumentasi bernama CeranaKeeper telah dikaitkan dengan berbagai serangkaian serangan pencurian data yang menargetkan Asia Tenggara.
Perusahaan keamanan siber ESET, mengamati operasi yang menargetkan lembaga pemerintah Asia Tenggara mulai tahun 2023, serangan ini dikaitkan dengan klaster aktivitas tersebut dengan Tiongkok, memanfaatkan alat yang sebelumnya diidentifikasi digunakan oleh aktor Mustang Panda.
Kelompok tersebut terus memperbarui backdoor-nya untuk menghindari deteksi dan mendiversifikasi metodenya untuk membantu pencurian data besar-besaran.
CeranaKeeper menyalahgunakan layanan cloud dan berbagi file yang populer dan sah seperti Dropbox dan OneDrive untuk menerapkan backdoor dan alat ekstraksi khusus.
CeranaKeeper Mengincar Asia Tenggara
Beberapa negara lain yang menjadi target termasuk Myanmar, Filipina, Jepang, dan Taiwan, yang semuanya telah menjadi target aktor ancaman yang disponsori negara Tiongkok dalam beberapa tahun terakhir.
ESET menggambarkan CeranaKeeper sebagai kelompok yang gigih, kreatif, dan mampu dengan cepat mengadaptasi modus operandinya, sementara juga menyebutnya agresif dan rakus.
Karena kemampuannya untuk bergerak secara lateral melintasi lingkungan yang disusupi dan menyedot sebanyak mungkin informasi melalui berbagai backdoor dan alat eksfiltrasi.
Penggunaan yang ekstensif untuk menyerang dan menyusup ke seluruh drive dengan jelas menunjukkan tujuan mereka adalah menyedot data secara besar-besaran.
Rute akses awal yang digunakan oleh pelaku ancaman tersebut masih belum diketahui. Namun, pijakan awal yang berhasil disalahgunakan untuk mendapatkan akses ke mesin lain di jaringan lokal.
Bahkan mengubah beberapa mesin yang disusupi menjadi proxy atau server pembaruan untuk menyimpan pembaruan untuk backdoor mereka.
Baca juga: Polonium Grup Peretas Spionase |
TONESHELL, TONEINS, dan PUBLOAD
Serangan tersebut dicirikan oleh penggunaan keluarga malware seperti TONESHELL, TONEINS, dan PUBLOAD semuanya dikaitkan dengan kelompok Mustang Panda.
Sementara kelompok penjahat siber terorganisir juga memanfaatkan gudang alat yang belum pernah terlihat sebelumnya untuk membantu eksfiltrasi data.
Setelah memperoleh akses istimewa, para penyerang memasang backdoor TONESHELL, menggunakan alat untuk membuang kredensial, dan menggunakan driver Avast yang sah dan aplikasi khusus untuk menonaktifkan produk keamanan pada mesin.
Dari server yang disusupi ini, mereka menggunakan konsol administrasi jarak jauh untuk menyebarkan dan menjalankan backdoor mereka pada komputer lain dalam jaringan.
Selain itu, CeranaKeeper menggunakan server yang disusupi untuk menyimpan pembaruan untuk TONESHELL, mengubahnya menjadi server pembaruan.
Kumpulan alat khusus yang baru ditemukan adalah sebagai berikut:
- WavyExfiller – Pengunggah Python yang mengumpulkan data, termasuk perangkat yang terhubung seperti USB dan hard drive, dan menggunakan Dropbox dan PixelDrain sebagai titik akhir eksfiltrasi.
- DropboxFlop – DropboxFlop Python yang merupakan varian dari shell terbalik yang tersedia untuk umum yang disebut DropFlop yang dilengkapi dengan fitur unggah dan unduh dan menggunakan Dropbox sebagai server perintah-dan-kontrol (C&C).
- OneDoor – Backdoor C++ yang menyalahgunakan Microsoft OneDrive REST API untuk menerima perintah dan mengekstrak file.
- BingoShell – Backdoor Python yang menyalahgunakan permintaan tarik GitHub dan mengeluarkan fitur komentar untuk membuat shell terbalik yang tersembunyi.
Baca juga: Gelsemium Dibalik Spionase Dunia Maya |
Mustang Panda dan CeranaKeeper
Dari sudut pandang tingkat tinggi, BingoShell memanfaatkan repositori GitHub pribadi sebagai server C&C. Skrip tersebut menggunakan token berkode keras untuk mengautentikasi dan permintaan tarik serta mengeluarkan fitur komentar untuk menerima perintah untuk mengeksekusi dan mengirimkan kembali hasilnya.
Dengan menyebut kemampuan CeranaKeeper untuk menimpa dan menulis ulang perangkatnya dengan cepat sesuai kebutuhan untuk menghindari deteksi.
ESET mengatakan tujuan akhir pelaku ancaman adalah mengembangkan malware khusus yang dapat memungkinkannya mengumpulkan informasi berharga dalam skala besar.
Mustang Panda dan CeranaKeeper tampaknya beroperasi secara independen satu sama lain, dan masing-masing memiliki perangkatnya sendiri.
Kedua pelaku ancaman mungkin mengandalkan pihak ketiga yang sama, seperti quartermaster digital, yang tidak jarang terjadi di antara kelompok-kelompok yang berpihak pada Tiongkok, atau memiliki beberapa tingkat berbagi informasi, yang akan menjelaskan hubungan yang telah diamati.
Sumber berita: