CeranaKeeper – Neue APT-Gruppe entdeckt

CeranaKeeper - Neue APT-Gruppe entdeckt

Beitrag teilen

Forscher haben eine neue Advanced Persistent Threat (APT)-Gruppe namens CeranaKeeper entdeckt.  Sie attackiert gezielt staatliche Institutionen in Thailand. Mithilfe bekannter Datei-Sharing-Dienste wie Dropbox, GitHub und OneDrive haben sie große Mengen sensibler Daten exfiltriert.

Die mit China verbundenen Angreifer nutzten dabei Tools, die ursprünglich APT-Gruppe Mustang Panda zugeordnet wurden. Mit neuen Werkzeugen führte CeranaKeeper die Angriffe weiter und setzte dabei auf legitime Cloud-Dienste zur Exfiltration sensibler Dokumente. Diese neue Bedrohungsgruppe wurde von ESET als CeranaKeeper identifiziert, benannt nach dem asiatischen Honigbienen-Ableger „Apis Cerana“.

Anzeige

Wie greift CeranaKeeper an?

Die Angriffe starteten mit dem Erlangen eines privilegierten Zugangs zu den Netzwerken der thailändischen Regierungsstellen. Anschließend setzten die Angreifer verschiedene speziell entwickelte Tools ein, wie das „TONESHELL“-Backdoor und ein Anmeldeinformations-Dump-Tool, um Sicherheitsprodukte zu deaktivieren und die Kontrolle über weitere Geräte im Netzwerk zu erlangen. CeranaKeeper nutzte auch einen BAT-Skript, um weitere Maschinen zu infizieren und Domain-Admin-Rechte zu erhalten.

Einer der wichtigsten Angriffswege von CeranaKeeper war die Verwendung von legitimen Plattformen wie GitHub, Dropbox und OneDrive als Teil ihrer Angriffsinfrastruktur. Der GitHub Pull-Request-Mechanismus wurde genutzt, um eine umgekehrte Shell unbemerkt zu steuern. Der Einsatz solcher legitimen Dienste machte die Erkennung und Blockierung dieser Aktivitäten äußerst schwierig.

Was war das Ergebnis der Attacke?

Das primäre Ziel der Gruppe war ein massenhaften Datendiebstahl. Durch die infizierten Netzwerke wurden große Mengen an Dokumenten gesammelt und zu öffentlichen Speicherplattformen hochgeladen. Der Angriff war so ausgelegt, dass er langfristig große Datenmengen sichern konnte. In den Fällen, die von ESET untersucht wurden, konnten die Angreifer auch Systeme in der breiteren asiatischen Region, darunter Myanmar, die Philippinen, Japan und Taiwan, kompromittieren.

Wie wurden die Opfer geschädigt?

Die thailändischen Regierungsstellen waren durch den Verlust sensibler Daten erheblich geschädigt. Es wurden nicht nur Informationen aus Regierungsnetzwerken exfiltriert, sondern auch wichtige Systeme im Netzwerk manipuliert, um die Aktivitäten der Angreifer zu unterstützen. Diese Art von Angriffen schwächt die Sicherheit und Souveränität eines Staates und gefährdet wichtige Informationen, die langfristig geopolitische Auswirkungen haben können.

Wie hätte man sich schützen können?

Um sich vor derartigen Angriffen zu schützen, ist es wichtig, Sicherheitsmaßnahmen wie die Implementierung von Netzwerkanomalie-Überwachungen und Multifaktor-Authentifizierung zu ergreifen. Das Monitoring von ungewöhnlichem Datenverkehr zu Cloud-Diensten wie Dropbox oder GitHub kann helfen, verdächtige Aktivitäten frühzeitig zu erkennen. Auch das regelmäßige Patchen von Sicherheitslücken und der Einsatz von Threat-Intelligence-Lösungen können helfen, die Erkennungsfähigkeit für neuartige Bedrohungen wie CeranaKeeper zu verbessern.

Was bedeutet dies für den DACH-Raum:

Wenn CeranaKeeper weiterhin erfolgreich Daten exfiltriert, könnten ähnliche Angriffe auch in Europa stattfinden. Die Taktiken und Techniken der Hacker könnten als Vorbild für andere Cyberkriminelle oder staatlich unterstützte Gruppen dienen. Regierungen und Unternehmen in DACH müssen wachsam sein und ihre Sicherheitsmaßnahmen stärken.

Die Erkenntnisse aus den Angriffen auf Thailand können europäische Sicherheitsbehörden und Unternehmen dazu veranlassen, ihre Strategien zur Abwehr solcher Bedrohungen zu überarbeiten. Insbesondere der Einsatz legitimer Dienste wie Cloud-Speicher könnte besondere Aufmerksamkeit erfordern.

Mehr bei ESET.com

 


Über ESET

ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 100 Millionen Benutzern hilft, sichere Technologien zu genießen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 180 Ländern und Niederlassungen in Jena, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie www.eset.de oder folgen uns auf LinkedIn, Facebook und Twitter.


Passende Artikel zum Thema

Report: Vertrauenswürdige Windows Anwendungen missbraucht

In seinem neuen Active Adversary Report 2024 belegt Sophos den Wolf im Schafspelz: Cyberkriminelle setzten vermehrt auf vertrauenswürdige Windows-Anwendungen für ➡ Weiterlesen

XDR: Schutz von Daten in Atlassian-Cloud-Applikationen

Mit einer neuen XDR-Erweiterung kann Bitdefender nun auch Daten in Atlassian-Cloud-Applikationen schützen. Somit ist das Überwachen, Erkennen und eine Reaktion auf ➡ Weiterlesen

Ausblick 2025: Lösungen für veränderte Angriffsflächen durch KI, IoT & Co

Die Angriffsfläche von Unternehmen wird sich im Jahr 2025 unweigerlich weiter vergrößern. Die datengetriebene Beschleunigung, einschließlich der zunehmenden Integration von ➡ Weiterlesen

Cloud Rewind für Wiederaufbau nach einer Cyberattacke

Eine neue Lösung für Cyber Recovery und zum Rebuild cloudzentrierter IT-Infrastrukturen. Commvault Cloud Rewind mit neuen Funktionen zum Auffinden von ➡ Weiterlesen

Medusa-Ransomware-Gruppe betreibt offenen Opfer-Blog im Web

Auch Cyberkriminelle pflegen neben der direkten Kommunikation mit dem Opfer ihre Außendarstellung. Denn Reputation ist ein wichtiger Erfolgsfaktor für Ransomware-as-a-Service-Unternehmen. Der ➡ Weiterlesen

Lokale Backups: Rückkehr zum sicheren Hafen

Warum Unternehmen lokale Backup-Strategien wiederentdecken: In den letzten Jahren haben sich Unternehmen zunehmend in die Abhängigkeit von Cloud-Lösungen manövriert - ➡ Weiterlesen

Gefährliche Lücken: Studie zu ICS und OT Cybersecurity

Das SANS Institute hat die Ergebnisse seiner Studie 2024 State of ICS/OT Cybersecurity veröffentlicht. Sie zeigt erhebliche Fortschritte bei der ➡ Weiterlesen

Gemeinsamkeiten und Unterschiede von PIM und PAM

Nicht selten werden die Aufgaben und Ziele der beiden Prinzipien PIM und PAM für die sichere Identifikationen und deren Verwaltung ➡ Weiterlesen