04.10.2024 | CeranaKeeper: как китайские киберакулы опустошают сети Юго-Восточной Азии |
Новая хакерская группировка CeranaKeeper, связанная с Китаем и нацеленная на кражу данных в Юго-Восточной Азии обнаружена исследователями из компании ESET . Первая активность группы была замечена ещё в 2023 году, её жертвами стали государственные учреждения Таиланда. Деятельность CeranaKeeper также была замечена в других странах региона, включая Мьянму, Филиппины, Японию и Тайвань. Группировка использует разнообразные методы и инструменты для сбора данных, среди которых злоупотребление легитимными сервисами облачного хранения и обмена файлами, такими как Dropbox и OneDrive. По словам исследователя безопасности ESET Ромена Дюмонта, эта группа постоянно обновляет свой инструментарий для обхода систем защиты и масштабного сбора данных. В атаках CeranaKeeper задействуются бэкдоры и инструменты эксфильтрации, позволяющие быстро получать доступ к различным системам и собирать большие объёмы информации. По мнению экспертов, агрессивный подход группировки проявляется в её способности быстро распространяться по заражённым системам и оперативно адаптировать свои методы. Хотя первоначальные способы проникновения CeranaKeeper в системы остаются неизвестными, злоумышленники используют уже полученный доступ для проникновения в другие машины локальной сети. Некоторые из заражённых компьютеров превращаются в прокси-серверы или серверы обновлений для бэкдоров. В атаках CeranaKeeper используются такие вредоносные программы, как TONESHELL, TONEINS и PUBLOAD, которые также связаны с хакерской группировкой Mustang Panda. Кроме того, CeranaKeeper применяет ряд новых инструментов для сбора данных:
ESET также отмечает, что группа CeranaKeeper способна быстро переписывать и адаптировать свои инструменты для обхода систем защиты. Основная цель кибербандитов — разработка уникального вредоносного ПО для масштабного сбора конфиденциальной информации. Согласно аналитике ESET, хотя CeranaKeeper и Mustang Panda могут действовать независимо друг от друга, они, вероятно, имеют некоторый уровень информационного обмена или опираются на общие сторонние ресурсы, что характерно для кибергруппировок, связанных с Китаем. |
Проверить безопасность сайта