Siber güvenlik şirketi ESET, Tayland’daki devlet kurumlarını hedef alan çok tehlikeli bir siber tehdit olan CeranaKeeper adlı yeni bir Çin bağlantılı APT (Advanced Persistent Threat) grubunu keşfetti. Bu yeni tehdit grubu, Tayland hükümetine yönelik sürdürdüğü siber casusluk faaliyetlerinde büyük miktarda verinin dışarı sızdırılmasına yol açtı. CeranaKeeper, güncel teknolojiler ve bulut hizmetlerini kullanarak sıkça güncellenen arka kapılarla tespit edilmekten kaçınıyor.
ESET, Tayland’daki devlet kurumlarına yönelik 2023 yılında başlayan çok sayıda hedefli siber sızma kampanyası keşfetti. Bu kampanyalarda Dropbox, GitHub, PixelDrain ve OneDrive gibi popüler dosya paylaşım hizmetleri kötüye kullanılarak büyük miktarda veri ele geçirildi. CeranaKeeper, bu sızıntılarda bulut hizmetlerinin tespit edilmesinin zor olmasına güveniyor.
CeranaKeeper özellikle Tayland, Myanmar, Filipinler, Japonya ve Tayvan gibi Asya bölgesindeki devlet kurumlarını hedef alıyor. Bu grup, yasal bulut hizmetlerini kullanarak veri topluyor ve kendine özgü çok sayıda aracı geliştiriyor. Tayland’daki sızıntılar, daha önce çin bağlantılı Mustang Panda grubuna atfedilen tekniklerden faydalanıyor, ancak ESET uzmanları her iki grubun farklı hedefleri ve operasyonel teknikleri nedeniyle ayrı varlıklar olarak izlenmesi gerektiğini belirtiyor.
CeranaKeeper tarafından kullanılan dikkat çekici tekniklerden biri, GitHub’ın pull request ve yorum özelliklerini gizli bir ters kabuk oluşturmak için kötüye kullanmak. Bu sayede grup, GitHub’ı komuta ve kontrol sunucusu olarak kullanıyor ve tespit edilmekten kaçınıyor. Tayland’daki hedef bilgisayarlara TONESHELL arka kapısını yerleştirerek bu makinelerde bulunan verileri dışarı sızdırıyorlar.
CeranaKeeper’la ilgili detaylı bilgi almak için ESET’in ilgili yayınına göz atabilirsiniz.