Aktor ancaman yang sebelumnya tidak berdokumen menelepon Penjaga Cerana telah dikaitkan dengan serangkaian serangan eksfiltrasi data yang menargetkan Asia Tenggara.
Perusahaan keamanan siber Slovakia ESET, yang mengamati kampanye yang menargetkan lembaga-lembaga pemerintah di Thailand mulai tahun 2023, mengaitkan kelompok aktivitas tersebut dengan Tiongkok, memanfaatkan alat yang sebelumnya diidentifikasi digunakan oleh aktor Mustang Panda.
“Kelompok ini terus memperbarui pintu belakangnya untuk menghindari deteksi dan mendiversifikasi metodenya untuk membantu eksfiltrasi data besar-besaran,” kata peneliti keamanan Romain Dumont dalam analisis yang diterbitkan hari ini.
“CeranaKeeper menyalahgunakan layanan cloud dan berbagi file yang populer dan sah seperti Dropbox dan OneDrive untuk menerapkan pintu belakang khusus dan alat ekstraksi.”
Beberapa negara lain yang menjadi sasaran musuh termasuk Myanmar, Filipina, Jepang, dan Taiwan, yang semuanya telah menjadi sasaran pelaku ancaman yang disponsori negara Tiongkok dalam beberapa tahun terakhir.
ESET mendeskripsikan CeranaKeeper sebagai orang yang tak kenal lelah, kreatif, dan mampu dengan cepat mengadaptasi modus operandinya, sekaligus menyebutnya agresif dan serakah karena kemampuannya bergerak ke samping melintasi lingkungan yang rentan dan menyedot informasi sebanyak mungkin melalui berbagai pintu belakang dan alat eksfiltrasi.
“Penggunaan ekspresi wildcard secara ekstensif untuk melintasi, terkadang, seluruh drive dengan jelas menunjukkan bahwa tujuan mereka adalah menyedot data secara besar-besaran,” kata perusahaan itu.
Rute akses awal yang tepat yang digunakan oleh pelaku ancaman masih belum diketahui. Namun, pijakan awal yang berhasil disalahgunakan untuk mendapatkan akses ke mesin lain di jaringan lokal, bahkan mengubah beberapa mesin yang disusupi menjadi proxy atau server pembaruan untuk menyimpan pembaruan untuk pintu belakang mereka.
Serangan ini ditandai dengan penggunaan keluarga malware seperti TONESHELL, TONEINS, dan PUBLOAD – yang seluruhnya dikaitkan dengan grup Mustang Panda – serta memanfaatkan serangkaian alat yang belum pernah ada sebelumnya untuk membantu eksfiltrasi data.
“Setelah mendapatkan akses istimewa, penyerang memasang pintu belakang TONESHELL, menggunakan alat untuk membuang kredensial, dan menggunakan driver Avast yang sah serta aplikasi khusus untuk menonaktifkan produk keamanan pada mesin,” kata Dumont.
“Dari server yang disusupi ini, mereka menggunakan konsol administrasi jarak jauh untuk menyebarkan dan mengeksekusi pintu belakang mereka di komputer lain dalam jaringan. Selain itu, CeranaKeeper menggunakan server yang disusupi untuk menyimpan pembaruan untuk TONESHELL, mengubahnya menjadi server pembaruan.”
Perangkat khusus yang baru ditemukan adalah sebagai berikut –
- WavyExfiller – Pengunggah Python yang mengumpulkan data, termasuk perangkat yang terhubung seperti USB dan hard drive, dan menggunakan Dropbox dan PixelDrain sebagai titik akhir eksfiltrasi
- DropboxFlop – DropboxFlop Python yang merupakan varian dari shell terbalik yang tersedia untuk umum bernama DropFlop yang hadir dengan fitur unggah dan unduh serta menggunakan Dropbox sebagai server perintah dan kontrol (C&C)
- BingoShell – Pintu belakang Python yang menyalahgunakan permintaan penarikan GitHub dan mengeluarkan fitur komentar untuk membuat shell terbalik yang tersembunyi
“Dari sudut pandang tingkat tinggi, [BingoShell] memanfaatkan repositori GitHub pribadi sebagai server C&C,” ESET menjelaskan. “Skrip ini menggunakan token hard-code untuk mengautentikasi dan permintaan penarikan serta mengeluarkan fitur komentar untuk menerima perintah untuk mengeksekusi dan mengirim kembali hasilnya.”
Menyebutkan kemampuan CeranaKeeper untuk dengan cepat menulis dan menulis ulang perangkatnya sesuai kebutuhan untuk menghindari deteksi, perusahaan tersebut mengatakan bahwa tujuan akhir pelaku ancaman adalah mengembangkan malware yang dipesan lebih dahulu yang memungkinkannya mengumpulkan informasi berharga dalam skala besar.
“Mustang Panda dan CeranaKeeper tampaknya beroperasi secara independen satu sama lain, dan masing-masing memiliki perangkatnya sendiri,” katanya. “Kedua pelaku ancaman mungkin bergantung pada pihak ketiga yang sama, seperti quartermaster digital, yang merupakan hal yang umum terjadi di antara kelompok-kelompok yang berpihak pada Tiongkok, atau memiliki tingkat berbagi informasi tertentu, yang akan menjelaskan kaitan yang telah diamati.”