Neue APT-Gruppe "CeranaKeeper" missbraucht Dropbox und Github
Bei Angriffen auf thailändische Behörden erbeuteten Cyberkriminelle Daten, indem sie verschlüsselte Dateien zu Filesharing-Diensten hochluden.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Die Sicherheitsforscher von Eset haben eine nach ihren Angaben neue Gruppe eines "Advanced Persistent Threat"-Akteurs (APT) entdeckt. Als solche werden kriminelle Organisationen bezeichnet, die für ein Ziel maßgeschneiderte Angriffe über einen längeren Zeitraum durchführen. Oft werden solche APTs staatlichen Institutionen wie Geheimdiensten zugeordnet.
Die von den Entdeckern "CeranaKeeper" getaufte Gruppe soll seit Mitte 2023 große Mengen sensibler Daten von einer namentlich nicht genannten Regierungsbehörde in Thailand erbeutet haben. Dabei nutzten sie unter anderem Tools der APT-Gruppe Mustang Panda, die in Verbindung mit China stehen soll. Daher ordnet Eset auch CeranaKeeper chinesischen Akteuren zu. Die neuen Angreifer entwickelten aber zusätzliche Programme, vor allem, um die Daten möglichst unbemerkt aus dem System ihres Ziels zu schleusen.
Github als C&C
Sie verwendeten der ausführlichen Beschreibung der Sicherheitsforscher zufolge unter anderem Dropbox und OneDrive zum Speichern der erbeuteten Daten. Eset nimmt an, dass diese häufig genutzten Dienste herangezogen wurden, weil Datenverkehr damit dann weniger auffällt. Damit die Administratoren des Ziels nicht gleich auf das Ausschleusen aufmerksam wurden, waren die Informationen verschlüsselt. Ein weiterer Dienst, der für den Angriff missbraucht wurde, ist Github.
Dort diente ein privates Repository als Command & Control-Server für die Attacken. Mit immer wieder neu geschlossenen Pull-Requests verschleierte CeranaKeeper seine Aktivitäten. Dafür geschriebene Tools tauchten auf Github noch im Februar 2024 auf, die Angriffe dauerten also mindestens über ein halbes Jahr an. Eines der neuen, nicht von Mustang Panda genutzten Tools, heißt "BingoShell".
Vom Domänencontroller durch das Netz
Den ersten Zugriff auf das fremde Netzwerk erhielt CeranaKeeper der Beschreibung zufolge über eine einzelne kompromittierte Maschine – wie die Übernahme dieses Rechners gelang, geht aus dem Bericht von Eset nicht hervor. Aber der folgende Weg durch die angegriffene Infrastruktur ist bekannt: Der Rechner führte Brute-Force-Attacken gegen einen Domänencontroller im Netz durch, als das erfolgreich war, installierten sie dort die Backdoor "Toneshell", auch als "bespoke stagers" bekannt.
Dieses System kann Zugangsdaten abfangen, sodass der Rest des Netzwerks für die Angreifer zugänglich war. Toneshell wird seit längerem Mustang Panda zugeordnet, sodass dort eine Verbindung zu anderen mutmaßlich chinesischen Akteuren liegt.
Lesen Sie auch
Okta warnt vor vermehrten Credential-Stuffing-Angriffen
iX-Workshop: Bewährte Methoden moderner Kryptographie verstehen und anwenden
iX-Workshop: Moderne Kryptographie im Unternehmen einsetzen
Fünfstellige Belohnung für Knacken der Elliptic-Curve-Seeds ausgelobt
Sicherheitsupdates für Nextcloud: Angreifer können Daten löschen
Angriffe auch in Europa möglich
Beide APT-Gruppen waren bisher vor allem in Asien aufgefallen. Eset geht jedoch davon aus, dass ähnliche Angriffe auch in anderen Regionen stattfinden könnten, auch in Europa. Die Sicherheitsforscher empfehlen zum Schutz davor vor allem Multi-Faktor-Authentifizierung sowie eine bessere Überwachung von Anomalien im Netzwerk.
Dazu gehörten offenbar im vorliegenden Fall die Brute-Force-Attacken auf den Domain-Controller sowie die Übertragung von eigens verschlüsselten Dateipaketen an Filesharing-Dienste. Bereits Anfang 2023 hatte die EU Cybersecurity Agency vor zunehmenden Aktivitiäten von chinesischen APTs gewarnt.
(nie)