Novo grupo de ciberameaças usa Dropbox e OneDrive em ataques
Uma nova campanha de ciberataques, atribuída ao grupo CeranaKeeper, está focada em instituições governamentais no Sudeste Asiático, com o objetivo de exfiltrar dados sensíveis. Detectada pela empresa de cibersegurança ESET, a atividade do grupo foi observada pela primeira vez em 2023, com ataques iniciais na Tailândia. As ferramentas e métodos utilizados sugerem uma possível ligação com o grupo Mustang Panda, conhecido por sua conexão com a China.
Uso de Ferramentas e Serviços Legítimos
O CeranaKeeper utiliza serviços legítimos, como Dropbox e OneDrive, para implantar backdoors personalizados e realizar extração de dados. Isso torna suas atividades mais difíceis de detectar, pois os serviços populares mascaram as ações maliciosas. Além da Tailândia, países como Mianmar, Filipinas, Japão e Taiwan também foram identificados como alvos frequentes do grupo.
Métodos de Ataque Sofisticados
Embora o método exato de acesso inicial ainda não tenha sido esclarecido, o grupo rapidamente compromete outras máquinas dentro das redes-alvo, transformando-as em servidores proxy ou de atualização. Entre as ferramentas usadas estão malwares como TONESHELL, TONEINS e PUBLOAD, associados ao Mustang Panda, além de ferramentas inéditas desenvolvidas pelo CeranaKeeper.
Ferramentas Personalizadas
O grupo desenvolveu ferramentas personalizadas, como o WavyExfiller, um script em Python que coleta dados de dispositivos conectados e os transfere para serviços de compartilhamento de arquivos. Outras ferramentas incluem o DropboxFlop, que usa o Dropbox como servidor de comando e controle, e o OneDoor, que se aproveita da API do OneDrive para exfiltrar arquivos.
Essa campanha reforça a sofisticação crescente de grupos de ciberataques na região, com foco em instituições governamentais e utilizando métodos furtivos para escapar da detecção.
Fonte: BoletimSec
Saiba mais sobre o Seguro Cyber:
