Aktor ancaman yang sebelumnya tidak terdokumentasi bernama CeranaKeeper telah dikaitkan dengan serangkaian serangan eksfiltrasi data yang menargetkan Asia Tenggara.
Perusahaan keamanan siber asal Slovakia, ESET, yang mengamati kampanye yang menargetkan institusi pemerintah di Thailand sejak 2023, menghubungkan kelompok ini dengan China. Mereka memanfaatkan alat yang sebelumnya diketahui digunakan oleh aktor Mustang Panda.
“Kelompok ini secara rutin memperbarui backdoor mereka untuk menghindari deteksi dan memvariasikan metode mereka guna mendukung eksfiltrasi data dalam skala besar,” ujar peneliti keamanan, Romain Dumont, dalam analisis yang diterbitkan hari ini.
“CeranaKeeper menyalahgunakan layanan cloud dan berbagi file yang populer dan sah seperti Dropbox dan OneDrive untuk menerapkan backdoor khusus dan alat ekstraksi.”
Negara-negara lain yang menjadi target kelompok ini termasuk Myanmar, Filipina, Jepang, dan Taiwan, yang semuanya telah menjadi target aktor ancaman yang disponsori oleh negara China dalam beberapa tahun terakhir.
ESET menggambarkan CeranaKeeper sebagai kelompok yang tak kenal lelah, kreatif, dan mampu dengan cepat menyesuaikan modus operandi mereka. Kelompok ini juga disebut agresif dan serakah karena kemampuannya bergerak lateral di seluruh lingkungan yang terkompromi dan mengumpulkan sebanyak mungkin informasi melalui berbagai backdoor dan alat eksfiltrasi.
“Penggunaan ekspresi wildcard secara luas untuk menelusuri, kadang-kadang, seluruh drive jelas menunjukkan bahwa tujuan mereka adalah menyedot data dalam jumlah besar,” ungkap perusahaan tersebut.
Rute akses awal yang digunakan oleh aktor ancaman ini masih belum diketahui. Namun, setelah berhasil mendapatkan pijakan awal, mereka menyalahgunakan akses tersebut untuk mendapatkan akses ke mesin lain di jaringan lokal, bahkan mengubah beberapa mesin yang terkompromi menjadi proxy atau server pembaruan untuk menyimpan pembaruan backdoor mereka.
Serangan ini ditandai dengan penggunaan keluarga malware seperti TONESHELL, TONEINS, dan PUBLOAD – yang semuanya dikaitkan dengan kelompok Mustang Panda – serta memanfaatkan rangkaian alat yang belum pernah terlihat sebelumnya untuk mendukung eksfiltrasi data.
“Setelah mendapatkan akses hak istimewa, penyerang menginstal backdoor TONESHELL, menggunakan alat untuk mencuri kredensial, dan menggunakan driver Avast yang sah serta aplikasi khusus untuk menonaktifkan produk keamanan di mesin tersebut,” jelas Dumont.
“Dari server yang terkompromi ini, mereka menggunakan konsol administrasi jarak jauh untuk menyebarkan dan menjalankan backdoor mereka di komputer lain di jaringan. Selain itu, CeranaKeeper menggunakan server yang terkompromi untuk menyimpan pembaruan TONESHELL, menjadikannya server pembaruan.”
Alat khusus yang baru ditemukan ini meliputi:
- WavyExfiller – Sebuah uploader Python yang mengumpulkan data dari perangkat yang terhubung seperti USB dan hard drive, serta menggunakan Dropbox dan PixelDrain sebagai titik eksfiltrasi.
- DropboxFlop – Varian dari shell terbalik publik bernama DropFlop yang memiliki fitur upload dan download serta menggunakan Dropbox sebagai server command-and-control (C&C).
- OneDoor – Backdoor berbasis C++ yang menyalahgunakan Microsoft OneDrive REST API untuk menerima perintah dan mengekstraksi file.
- BingoShell – Backdoor Python yang menyalahgunakan fitur pull request dan komentar issue di GitHub untuk menciptakan shell terbalik yang sulit dideteksi.
“Dari sudut pandang tingkat tinggi, [BingoShell] memanfaatkan repositori GitHub pribadi sebagai server C&C,” jelas ESET. “Script ini menggunakan token yang sudah dikodekan keras untuk autentikasi dan fitur pull request serta komentar issue untuk menerima perintah yang dieksekusi dan mengirimkan kembali hasilnya.”
ESET juga menyoroti kemampuan CeranaKeeper untuk dengan cepat menulis dan menulis ulang perangkat mereka sesuai kebutuhan untuk menghindari deteksi. Perusahaan menyebut bahwa tujuan akhir aktor ancaman ini adalah mengembangkan malware khusus yang memungkinkan mereka mengumpulkan informasi berharga dalam skala besar.
“Mustang Panda dan CeranaKeeper tampaknya beroperasi secara independen satu sama lain, masing-masing dengan rangkaian alat mereka sendiri,” kata ESET. “Kedua aktor ancaman ini mungkin bergantung pada pihak ketiga, seperti digital quartermaster, yang bukan hal baru di kalangan kelompok yang berafiliasi dengan China, atau memiliki tingkat berbagi informasi tertentu, yang akan menjelaskan keterkaitan yang telah diamati.”
#Lindungi Data!
Sebagai perusahaan yang berkomitmen untuk membuat dunia digital yang lebih baik, PT Digital Solusi Grup mengajak Anda untuk selalu menjaga keamanan perangkat dan data Anda. Hubungi tim ahli kami di bidang cyber security untuk konsultasi lebih lanjut dan layanan perlindungan menyeluruh. Bersama kami, amankan bisnis Anda dari ancaman siber yang terus berkembang. Lindungi, Aman, dan Sukses bersama PT Digital Solusi Grup!
Referensi:
China-Linked CeranaKeeper Targeting Southeast Asia with Data Exfiltration, The Hacker News.
Baca Juga : Sistem IT Red Barrels Diretas oleh Nitrogen Ransomware Group