CeranaKeeper – Neue APT-Gruppe entdeckt

CeranaKeeper - Neue APT-Gruppe entdeckt

Beitrag teilen

Forscher haben eine neue Advanced Persistent Threat (APT)-Gruppe namens CeranaKeeper entdeckt.  Sie attackiert gezielt staatliche Institutionen in Thailand. Mithilfe bekannter Datei-Sharing-Dienste wie Dropbox, GitHub und OneDrive haben sie große Mengen sensibler Daten exfiltriert.

Die mit China verbundenen Angreifer nutzten dabei Tools, die ursprünglich APT-Gruppe Mustang Panda zugeordnet wurden. Mit neuen Werkzeugen führte CeranaKeeper die Angriffe weiter und setzte dabei auf legitime Cloud-Dienste zur Exfiltration sensibler Dokumente. Diese neue Bedrohungsgruppe wurde von ESET als CeranaKeeper identifiziert, benannt nach dem asiatischen Honigbienen-Ableger „Apis Cerana“.

Anzeige

Wie greift CeranaKeeper an?

Die Angriffe starteten mit dem Erlangen eines privilegierten Zugangs zu den Netzwerken der thailändischen Regierungsstellen. Anschließend setzten die Angreifer verschiedene speziell entwickelte Tools ein, wie das „TONESHELL“-Backdoor und ein Anmeldeinformations-Dump-Tool, um Sicherheitsprodukte zu deaktivieren und die Kontrolle über weitere Geräte im Netzwerk zu erlangen. CeranaKeeper nutzte auch einen BAT-Skript, um weitere Maschinen zu infizieren und Domain-Admin-Rechte zu erhalten.

Einer der wichtigsten Angriffswege von CeranaKeeper war die Verwendung von legitimen Plattformen wie GitHub, Dropbox und OneDrive als Teil ihrer Angriffsinfrastruktur. Der GitHub Pull-Request-Mechanismus wurde genutzt, um eine umgekehrte Shell unbemerkt zu steuern. Der Einsatz solcher legitimen Dienste machte die Erkennung und Blockierung dieser Aktivitäten äußerst schwierig.

Was war das Ergebnis der Attacke?

Das primäre Ziel der Gruppe war ein massenhaften Datendiebstahl. Durch die infizierten Netzwerke wurden große Mengen an Dokumenten gesammelt und zu öffentlichen Speicherplattformen hochgeladen. Der Angriff war so ausgelegt, dass er langfristig große Datenmengen sichern konnte. In den Fällen, die von ESET untersucht wurden, konnten die Angreifer auch Systeme in der breiteren asiatischen Region, darunter Myanmar, die Philippinen, Japan und Taiwan, kompromittieren.

Wie wurden die Opfer geschädigt?

Die thailändischen Regierungsstellen waren durch den Verlust sensibler Daten erheblich geschädigt. Es wurden nicht nur Informationen aus Regierungsnetzwerken exfiltriert, sondern auch wichtige Systeme im Netzwerk manipuliert, um die Aktivitäten der Angreifer zu unterstützen. Diese Art von Angriffen schwächt die Sicherheit und Souveränität eines Staates und gefährdet wichtige Informationen, die langfristig geopolitische Auswirkungen haben können.

Wie hätte man sich schützen können?

Um sich vor derartigen Angriffen zu schützen, ist es wichtig, Sicherheitsmaßnahmen wie die Implementierung von Netzwerkanomalie-Überwachungen und Multifaktor-Authentifizierung zu ergreifen. Das Monitoring von ungewöhnlichem Datenverkehr zu Cloud-Diensten wie Dropbox oder GitHub kann helfen, verdächtige Aktivitäten frühzeitig zu erkennen. Auch das regelmäßige Patchen von Sicherheitslücken und der Einsatz von Threat-Intelligence-Lösungen können helfen, die Erkennungsfähigkeit für neuartige Bedrohungen wie CeranaKeeper zu verbessern.

Was bedeutet dies für den DACH-Raum:

Wenn CeranaKeeper weiterhin erfolgreich Daten exfiltriert, könnten ähnliche Angriffe auch in Europa stattfinden. Die Taktiken und Techniken der Hacker könnten als Vorbild für andere Cyberkriminelle oder staatlich unterstützte Gruppen dienen. Regierungen und Unternehmen in DACH müssen wachsam sein und ihre Sicherheitsmaßnahmen stärken.

Die Erkenntnisse aus den Angriffen auf Thailand können europäische Sicherheitsbehörden und Unternehmen dazu veranlassen, ihre Strategien zur Abwehr solcher Bedrohungen zu überarbeiten. Insbesondere der Einsatz legitimer Dienste wie Cloud-Speicher könnte besondere Aufmerksamkeit erfordern.

Mehr bei ESET.com

 


Über ESET

ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 100 Millionen Benutzern hilft, sichere Technologien zu genießen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 180 Ländern und Niederlassungen in Jena, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie www.eset.de oder folgen uns auf LinkedIn, Facebook und Twitter.


Passende Artikel zum Thema

Cyberresilienz durch KI-gestützte Wiederherstellung

Ein Anbieter von sicheren Lösungen für das Multi-Cloud-Datenmanagement präsentiert neue KI-gestützte Tools. Die innovativen KI-gestützten Automatisierungen und Verbesserungen der Benutzeroberfläche ➡ Weiterlesen

CeranaKeeper – Neue APT-Gruppe entdeckt

Forscher haben eine neue Advanced Persistent Threat (APT)-Gruppe namens CeranaKeeper entdeckt.  Sie attackiert gezielt staatliche Institutionen in Thailand. Mithilfe bekannter ➡ Weiterlesen

Neue Firewall schützt kritische Infrastrukturen

Ein Anbieter von Cybersicherheit für kritische Infrastrukturen in den Bereichen IT, OT und ICS hat seine neueste Generation einer robusten ➡ Weiterlesen

Scanner analysiert Bedrohungen vor dem Angriff

Ein Anbieter für Datenresilienz hat seine Datenplattform mit einem neuen Scanner erweitert. Dieser Scanner identifiziert Cyber-Bedrohungen proaktiv mit einer zum ➡ Weiterlesen

KI in Unternehmen – Mitarbeiter wissen zu wenig

Für den zielgerichteten Einsatz von Künstlicher Intelligenz (KI) in Unternehmen braucht es Angestellte mit dem entsprechenden Fachwissen sowie Maßnahmen zur ➡ Weiterlesen

CosmicBeetle: Hacker imitieren Schadsoftware

Die Hacker der CosmicBeetle Gruppe greifen vor allem kleine und mittlere Unternehmen an. Sie imitieren in ihren Ransomware Erpresserschreiben die ➡ Weiterlesen

Akira: Gruppe nutzt Schwachstelle in Firewall aus

Cyberkriminelle nutzten in diesem Jahr bereits häufiger Sicherheitslücken in weit verbreiteten Firewalls aus. Jetzt wurden Mitglieder von Akira dabei beobachtet, ➡ Weiterlesen

Data Security Posture Management für Microsoft 365 Copilot

Da Unternehmen und ihr Microsoft 365-Datenvolumen wachsen, ist der Schutz sensibler Daten und die Zugriffsverwaltung noch wichtiger geworden. Rubrik hilft ➡ Weiterlesen