Güvenlik araştırmacıları, 2023 yılından bu yana Tayland’daki devlet kurumlarını hedef alan CeranaKeeper adlı siber saldırı grubunun faaliyetlerini ortaya çıkardı. Bu siber kampanyalar, Dropbox, GitHub, PixelDrain ve OneDrive gibi yasal dosya paylaşım platformlarının kötüye kullanılmasıyla büyük miktarda verinin sızdırılmasına neden oldu.
Araştırmalar, grubun araçlarının kodunda “bectrl” dizesinin sıkça geçmesi nedeniyle CeranaKeeper isminin, Asya bal arısı Apis Cerana ile ilgili bir kelime oyunu olarak seçildiğini gösteriyor. Ancak, bu grup Tayland hükümetine karşı yürüttüğü saldırılarla dikkat çekiyor ve hızla gelişen teknikleriyle özellikle acımasız bir profil sergiliyor.
CeranaKeeper, bulut ve dosya paylaşım hizmetlerini kullanarak sızmalar gerçekleştiriyor. Bu hizmetlerin meşru trafiği, saldırıların tespit edilmesini zorlaştırıyor. Uzmanlar, grubun 2022’nin başından beri aktif olduğunu ve Tayland’ın yanı sıra Myanmar, Filipinler, Japonya ve Tayvan gibi Asya ülkelerindeki devlet kurumlarını hedef aldığını bildiriyor.
Tayland saldırıları, daha önce Çin bağlantılı APT grubu Mustang Panda’ya atfedilen bileşenlerin yenilenmiş sürümlerini kullanıyor. Araştırmacılar, bu iki grubun ortak bir çıkar için ya da aynı üçüncü taraf aracılığıyla bilgi ve araç paylaşabileceğine inanıyor. Ancak, taktiklerin ve altyapının incelenmesi, CeranaKeeper ve Mustang Panda’nın ayrı varlıklar olduğuna işaret ediyor.
Saldırganlar, ayrıcalıklı erişim elde ettikten sonra TONESHELL arka kapısını kurarak kimlik bilgilerini boşaltmak için yasal bir Avast sürücüsü kullandı. Ele geçirilen sunuculardan ağ genelinde arka kapı dağıtımı yapmak için uzaktan yönetim konsolu kullanıldı ve erişimlerini diğer makinelere yaymak için Etki Alanı Yöneticisi ayrıcalıkları hedeflendi.
CeranaKeeper, daha önce belgelenmemiş özel araçları konuşlandırmak için dikkat çekici bir ilgi gösterdi ve bu araçlar, belgelerin halka açık depolama hizmetlerine sızmasını kolaylaştırırken alternatif arka kapılar olarak da işlev gördü. Grubun dikkat çekici taktiklerinden biri, GitHub’ın pull request ve sorun yorumları gibi özelliklerini kullanarak gizli bir ters kabuk oluşturması oldu.