CeranaKeeper – Nouveau groupe APT découvert

4 novembre 2024
| Pas de commentaires
CeranaKeeper - Nouveau groupe APT découvert
Exposition

Partager le post

Les chercheurs ont découvert un nouveau groupe de menaces persistantes avancées (APT) appelé CeranaKeeper. Il attaque spécifiquement les institutions étatiques en Thaïlande. En utilisant des services de partage de fichiers bien connus tels que Dropbox, GitHub et OneDrive, ils ont exfiltré de grandes quantités de données sensibles.

Les attaquants liés à la Chine ont utilisé des outils initialement attribués au groupe APT Mustang Panda. CeranaKeeper a poursuivi ses attaques avec de nouveaux outils, s'appuyant sur des services cloud légitimes pour exfiltrer des documents sensibles. Ce nouveau groupe de menace a été identifié par ESET sous le nom de CeranaKeeper, du nom de la ramification asiatique de l'abeille domestique « Apis Cerana ».

Exposition
Une cybersécurité parfaite pour les PME
Comment les petites et moyennes entreprises se défendent contre les attaques menées par l'IA grâce à une sécurité sur mesure

Comment CeranaKeeper attaque-t-il ?

Les attaques ont commencé par l'obtention d'un accès privilégié aux réseaux des agences gouvernementales thaïlandaises. Les attaquants ont ensuite utilisé divers outils spécialement conçus, tels que la porte dérobée « TONESHELL » et un outil de vidage des informations d'identification, pour désactiver les produits de sécurité et prendre le contrôle d'appareils supplémentaires sur le réseau. CeranaKeeper a également utilisé un script BAT pour infecter des machines supplémentaires et obtenir des droits d'administrateur de domaine.

L'un des principaux vecteurs d'attaque de CeranaKeeper était l'utilisation de plateformes légitimes telles que GitHub, Dropbox et OneDrive dans le cadre de son infrastructure d'attaque. Le mécanisme de requête pull GitHub a été utilisé pour contrôler silencieusement un shell inversé. L’utilisation de ces services légitimes rendait extrêmement difficile la détection et le blocage de ces activités.

Exposition

Abonnez-vous à la newsletter maintenant

Lisez les meilleures nouvelles de B2B CYBER SECURITY une fois par mois



En cliquant sur "S'inscrire", j'accepte le traitement et l'utilisation de mes données conformément à la déclaration de consentement (veuillez ouvrir pour plus de détails). Je peux trouver plus d'informations dans notre Déclaration de protection des données. Après votre inscription, vous recevrez d'abord un e-mail de confirmation afin qu'aucune autre personne ne puisse commander quelque chose que vous ne voulez pas.
Développer pour plus de détails sur votre consentement
Il va sans dire que nous traitons vos données personnelles de manière responsable. Si nous collectons des données personnelles auprès de vous, nous les traitons conformément aux réglementations applicables en matière de protection des données. Vous trouverez des informations détaillées dans notre Déclaration de protection des données. Vous pouvez vous désinscrire de la newsletter à tout moment. Vous trouverez un lien correspondant dans la newsletter. Après votre désinscription, vos données seront supprimées dans les plus brefs délais. La récupération n'est pas possible. Si vous souhaitez recevoir à nouveau la newsletter, il vous suffit de la commander à nouveau. Faites de même si vous souhaitez utiliser une adresse e-mail différente pour votre newsletter. Si vous souhaitez recevoir la newsletter proposée sur le site, nous avons besoin d'une adresse e-mail de votre part ainsi que d'informations nous permettant de vérifier que vous êtes le propriétaire de l'adresse e-mail fournie et que vous acceptez de recevoir les bulletin. D'autres données ne sont pas collectées ou ne sont collectées que sur une base volontaire. Nous utilisons des fournisseurs de services de newsletter, qui sont décrits ci-dessous, pour traiter la newsletter.

CleverReach

Ce site Web utilise CleverReach pour envoyer des newsletters. Le fournisseur est CleverReach GmbH & Co. KG, Schafjückenweg 2, 26180 Rastede, Allemagne (ci-après « CleverReach »). CleverReach est un service permettant d'organiser et d'analyser l'envoi de newsletters. Les données que vous saisissez dans le but de vous abonner à la newsletter (par exemple l'adresse e-mail) seront stockées sur les serveurs de CleverReach en Allemagne ou en Irlande. Nos newsletters envoyées avec CleverReach nous permettent d'analyser le comportement des destinataires de la newsletter. Cela peut inclure Le nombre de destinataires qui ont ouvert le message de la newsletter et la fréquence à laquelle le lien de la newsletter a été cliqué sont analysés. À l'aide de ce que l'on appelle le suivi des conversions, il est également possible d'analyser si une action définie au préalable (par exemple, l'achat d'un produit sur ce site Web) a eu lieu après avoir cliqué sur le lien dans la newsletter. De plus amples informations sur l'analyse des données par la newsletter CleverReach sont disponibles sur : https://www.cleverreach.com/de/funktionen/reporting-und-tracking/. Le traitement des données a lieu sur la base de votre consentement (art. 6 al. 1 lit. a DSGVO). Vous pouvez révoquer ce consentement à tout moment en vous désinscrivant de la newsletter. La légalité des opérations de traitement de données qui ont déjà eu lieu n'est pas affectée par la révocation. Si vous ne souhaitez pas une analyse par CleverReach, vous devez vous désinscrire de la newsletter. À cette fin, nous fournissons un lien correspondant dans chaque message de la newsletter. Les données que vous avez stockées chez nous dans le but de vous abonner à la newsletter seront stockées par nous ou par le fournisseur de service de newsletter jusqu'à ce que vous vous désabonniez de la newsletter et supprimées de la liste de distribution de la newsletter après que vous ayez annulé la newsletter. Les données que nous stockons à d'autres fins ne sont pas affectées. Une fois que vous avez été retiré de la liste de distribution de la newsletter, votre adresse e-mail peut être stockée par nous ou le fournisseur de services de newsletter dans une liste noire si cela est nécessaire pour empêcher de futurs envois. Les données de la liste noire ne seront utilisées qu'à cette fin et ne seront pas fusionnées avec d'autres données. Cela sert à la fois votre intérêt et notre intérêt à respecter les exigences légales lors de l'envoi de newsletters (intérêt légitime au sens de l'art. 6 al. 1 lit. f RGPD). Le stockage dans la liste noire n'est pas limité dans le temps. Vous pouvez vous opposer au stockage si vos intérêts l'emportent sur nos intérêts légitimes. Pour plus d'informations, voir la politique de confidentialité de CleverReach à l'adresse: https://www.cleverreach.com/de/datenschutz/.

Le traitement des commandes

Nous avons conclu un contrat de traitement des commandes (AVV) pour l'utilisation du service susmentionné. Il s'agit d'un contrat requis par la loi sur la protection des données, qui garantit que les données personnelles des visiteurs de notre site Web ne sont traitées que conformément à nos instructions et dans le respect du RGPD.

Quel a été le résultat de l’attaque ?

L'objectif principal du groupe était le vol massif de données. Grâce aux réseaux infectés, de grandes quantités de documents ont été collectées et téléchargées sur des plateformes de stockage publiques. L’attaque visait à sécuriser de grandes quantités de données sur le long terme. Dans les cas enquêtés par ESET, les attaquants ont également réussi à compromettre les systèmes de la région asiatique au sens large, notamment au Myanmar, aux Philippines, au Japon et à Taiwan.

Comment les victimes ont-elles été blessées ?

Les services du gouvernement thaïlandais ont été considérablement endommagés par la perte de données sensibles. Non seulement les informations ont été exfiltrées des réseaux gouvernementaux, mais des systèmes clés du réseau ont également été manipulés pour soutenir les activités des attaquants. Ce type d’attaque affaiblit la sécurité et la souveraineté d’un État et met en danger des informations importantes pouvant avoir des implications géopolitiques à long terme.

Comment aurais-tu pu te protéger ?

Pour se protéger contre de telles attaques, il est important de prendre des mesures de sécurité telles que la mise en œuvre d'une surveillance des anomalies du réseau et d'une authentification multifacteur. La surveillance du trafic inhabituel vers des services cloud tels que Dropbox ou GitHub peut aider à identifier rapidement les activités suspectes. L'application régulière de correctifs aux vulnérabilités de sécurité et l'utilisation de solutions de renseignement sur les menaces peuvent également contribuer à améliorer la capacité de détection de nouvelles menaces telles que CeranaKeeper.

Qu’est-ce que cela signifie pour la région DACH :

Si CeranaKeeper continue à exfiltrer des données, des attaques similaires pourraient également se produire en Europe. Les tactiques et techniques des pirates informatiques pourraient servir de modèle à d’autres cybercriminels ou à des groupes soutenus par l’État. Les gouvernements et les entreprises de DACH doivent être vigilants et renforcer leurs mesures de sécurité.

Les leçons tirées des attaques contre la Thaïlande pourraient inciter les agences de sécurité et les entreprises européennes à réviser leurs stratégies pour contrer de telles menaces. En particulier, l’utilisation de services légitimes tels que le stockage cloud peut nécessiter une attention particulière.

Plus sur ESET.com

 

À propos d'ESET

ESET est une société européenne dont le siège est à Bratislava (Slovaquie). Depuis 1987, ESET développe des logiciels de sécurité primés qui ont déjà aidé plus de 100 millions d'utilisateurs à profiter de technologies sécurisées. Le large portefeuille de produits de sécurité couvre toutes les principales plates-formes et offre aux entreprises et aux consommateurs du monde entier l'équilibre parfait entre performance et protection proactive. La société dispose d'un réseau de vente mondial dans plus de 180 pays et de bureaux à Jena, San Diego, Singapour et Buenos Aires. Pour plus d'informations, visitez www.eset.de ou suivez-nous sur LinkedIn, Facebook et Twitter.

Articles liés au sujet

Plateforme sophistiquée de phishing en tant que service (PhaaS)

Des chercheurs en sécurité ont découvert une plateforme sophistiquée de phishing en tant que service (PhaaS) qui constitue une menace sérieuse pour les entreprises du monde entier. L'acteur de la menace ➡ En savoir plus

PDF : les chevaux de Troie des pirates informatiques

Les cybercriminels utilisent de plus en plus le format de fichier PDF populaire pour masquer du code malveillant. Les résultats actuels de l'investigation informatique le soulignent : 68 ➡ En savoir plus

Sécurité informatique maximale pour les systèmes OT

Les systèmes OT sont rarement attaqués directement. Mais en raison des lacunes et des vulnérabilités de l’informatique traditionnelle, les systèmes OT sont sérieusement exposés aux attaques. ➡ En savoir plus

Résilience informatique : la cybersécurité au niveau du stockage

Plus de fonctionnalités de sécurité des données pour une plus grande résilience informatique au niveau du stockage : les responsables de la cybersécurité peuvent adopter une approche proactive de la sécurité des données au niveau du stockage avec un stockage NetApp hautement sécurisé et ainsi ➡ En savoir plus

Algorithmes pour la cryptographie post-quantique

Un fournisseur de solutions de sécurité informatique présente Quantum Protect, une suite d'applications de cryptographie post-quantique pour ses modules de sécurité matérielle à usage général (HSM) u.trust ➡ En savoir plus

Menace sur le réseau électrique : failles de sécurité dans les systèmes solaires

Un fournisseur de solutions de cybersécurité a publié son rapport de recherche « SUN:DOWN – Déstabilisation du réseau via l’exploitation orchestrée des systèmes d’énergie solaire », qui ➡ En savoir plus

La sécurité du Cloud et du SaaS est insuffisante

Une étude récente montre que les stratégies de sécurité des entreprises ne suivent pas le rythme de l’adoption rapide des technologies cloud natives. 28 ➡ En savoir plus

Environnements OT : détecter et évaluer les menaces

Les organisations aux ressources limitées peuvent identifier, évaluer et prendre des décisions éclairées concernant les menaces dans les environnements OT grâce à une solution complète de protection des points de terminaison. Cela va ➡ En savoir plus

 

Messages RP
, , , , , , ,