CeranaKeeper, un nuevo actor de amenazas que abusa de servicios como Dropbox, OneDrive y GitHub
Se detecta un nuevo actor de amenazas llamado CeranaKeeper. ¿Cuál es su objetivo de ataque? Es la exfiltración masiva de datos confidenciales abusando de proveedores de servidores como Dropbox, OneDrive y Github.
Analicemos más información sobre la detección
Ha estado activo al menos desde principios de 2022, dirigiéndose principalmente a entidades gubernamentales de países asiáticos como Tailandia, Myanmar, Filipinas, Japón y Taiwán. Destacan la incesante caza de datos del grupo, cuyos atacantes despliegan una amplia gama de herramientas destinadas a extraer la mayor cantidad de información posible de las redes comprometidas.
Algunos puntos claves a considerar
- CeranaKeeper abusa de servicios en la nube y de intercambio de archivos populares y legítimos, como Dropbox y OneDrive, para implementar backdoors y herramientas de extracción personalizadas.
- El grupo actualiza constantemente su backdoor para evadir la detección y diversifica sus métodos para ayudar a la exfiltración masiva de datos.
- El grupo utiliza las funciones de solicitud de extracción y comentario de problemas de GitHub para crear un shell inverso sigiloso, aprovechando GitHub, una popular plataforma en línea para compartir y colaborar en código, como servidor de C&C.
- En los ataques de CeranaKeeper se emplean puertas traseras (backdoors) y herramientas de exfiltración que permiten acceder rápidamente a diferentes sistemas y recopilar grandes volúmenes de información. Según los expertos, el enfoque agresivo del grupo se refleja en su capacidad para propagarse rápidamente a través de sistemas infectados y adaptar sus métodos con agilidad.
- Los atacantes utilizan el acceso ya obtenido para infiltrarse en otras máquinas de la red local. Algunos de los equipos infectados se convierten en servidores proxy o servidores de actualización para las puertas traseras.
¿Qué más debemos saber?
Se utilizan programas maliciosos como TONESHELL, TONEINS y PUBLOAD, los cuales también están vinculados al grupo de hackers Mustang Panda. Además, CeranaKeeper emplea una serie de nuevas herramientas para la recopilación de datos:
- WavyExfiller: una herramienta de Python para la descarga de datos, incluidos dispositivos conectados como USB y discos duros, con exfiltración a través de Dropbox y PixelDrain.
- DropboxFlop: un script de Python que es una modificación del shell inverso DropFlop, utilizando Dropbox como servidor de comando y control.
- OneDoor: una puerta trasera en C++ que utiliza la API de Microsoft OneDrive para ejecutar comandos y exfiltrar archivos.
- BingoShell: una puerta trasera de Python que utiliza las capacidades de un repositorio privado en GitHub para crear un shell inverso oculto.
Para mayor información sobre últimas noticias en ciberseguridad, ingresa a https://www.bitdefenderperu.com/