Forscher haben eine neue Advanced Persistent Threat (APT)-Gruppe namens CeranaKeeper entdeckt. Sie attackiert gezielt staatliche Institutionen in Thailand. Mithilfe bekannter Datei-Sharing-Dienste wie Dropbox, GitHub und OneDrive haben sie große Mengen sensibler Daten exfiltriert.
Die mit China verbundenen Angreifer nutzten dabei Tools, die ursprünglich APT-Gruppe Mustang Panda zugeordnet wurden. Mit neuen Werkzeugen führte CeranaKeeper die Angriffe weiter und setzte dabei auf legitime Cloud-Dienste zur Exfiltration sensibler Dokumente. Diese neue Bedrohungsgruppe wurde von ESET als CeranaKeeper identifiziert, benannt nach dem asiatischen Honigbienen-Ableger „Apis Cerana“.
Wie greift CeranaKeeper an?
Die Angriffe starteten mit dem Erlangen eines privilegierten Zugangs zu den Netzwerken der thailändischen Regierungsstellen. Anschließend setzten die Angreifer verschiedene speziell entwickelte Tools ein, wie das „TONESHELL“-Backdoor und ein Anmeldeinformations-Dump-Tool, um Sicherheitsprodukte zu deaktivieren und die Kontrolle über weitere Geräte im Netzwerk zu erlangen. CeranaKeeper nutzte auch einen BAT-Skript, um weitere Maschinen zu infizieren und Domain-Admin-Rechte zu erhalten.
Einer der wichtigsten Angriffswege von CeranaKeeper war die Verwendung von legitimen Plattformen wie GitHub, Dropbox und OneDrive als Teil ihrer Angriffsinfrastruktur. Der GitHub Pull-Request-Mechanismus wurde genutzt, um eine umgekehrte Shell unbemerkt zu steuern. Der Einsatz solcher legitimen Dienste machte die Erkennung und Blockierung dieser Aktivitäten äußerst schwierig.
Was war das Ergebnis der Attacke?
Das primäre Ziel der Gruppe war ein massenhaften Datendiebstahl. Durch die infizierten Netzwerke wurden große Mengen an Dokumenten gesammelt und zu öffentlichen Speicherplattformen hochgeladen. Der Angriff war so ausgelegt, dass er langfristig große Datenmengen sichern konnte. In den Fällen, die von ESET untersucht wurden, konnten die Angreifer auch Systeme in der breiteren asiatischen Region, darunter Myanmar, die Philippinen, Japan und Taiwan, kompromittieren.
Wie wurden die Opfer geschädigt?
Die thailändischen Regierungsstellen waren durch den Verlust sensibler Daten erheblich geschädigt. Es wurden nicht nur Informationen aus Regierungsnetzwerken exfiltriert, sondern auch wichtige Systeme im Netzwerk manipuliert, um die Aktivitäten der Angreifer zu unterstützen. Diese Art von Angriffen schwächt die Sicherheit und Souveränität eines Staates und gefährdet wichtige Informationen, die langfristig geopolitische Auswirkungen haben können.
Wie hätte man sich schützen können?
Um sich vor derartigen Angriffen zu schützen, ist es wichtig, Sicherheitsmaßnahmen wie die Implementierung von Netzwerkanomalie-Überwachungen und Multifaktor-Authentifizierung zu ergreifen. Das Monitoring von ungewöhnlichem Datenverkehr zu Cloud-Diensten wie Dropbox oder GitHub kann helfen, verdächtige Aktivitäten frühzeitig zu erkennen. Auch das regelmäßige Patchen von Sicherheitslücken und der Einsatz von Threat-Intelligence-Lösungen können helfen, die Erkennungsfähigkeit für neuartige Bedrohungen wie CeranaKeeper zu verbessern.
Was bedeutet dies für den DACH-Raum:
Wenn CeranaKeeper weiterhin erfolgreich Daten exfiltriert, könnten ähnliche Angriffe auch in Europa stattfinden. Die Taktiken und Techniken der Hacker könnten als Vorbild für andere Cyberkriminelle oder staatlich unterstützte Gruppen dienen. Regierungen und Unternehmen in DACH müssen wachsam sein und ihre Sicherheitsmaßnahmen stärken.
Die Erkenntnisse aus den Angriffen auf Thailand können europäische Sicherheitsbehörden und Unternehmen dazu veranlassen, ihre Strategien zur Abwehr solcher Bedrohungen zu überarbeiten. Insbesondere der Einsatz legitimer Dienste wie Cloud-Speicher könnte besondere Aufmerksamkeit erfordern.
Mehr bei ESET.com
Über ESET ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 100 Millionen Benutzern hilft, sichere Technologien zu genießen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 180 Ländern und Niederlassungen in Jena, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie www.eset.de oder folgen uns auf LinkedIn, Facebook und Twitter.
Passende Artikel zum Thema