{"id":2889,"date":"2024-10-04T03:53:51","date_gmt":"2024-10-04T08:53:51","guid":{"rendered":"https:\/\/zidrave.net\/?p=2889"},"modified":"2024-10-04T03:53:51","modified_gmt":"2024-10-04T08:53:51","slug":"ceranakeeper-el-nuevo-grupo-apt-que-abusa-de-dropbox-y-github","status":"publish","type":"post","link":"https:\/\/zidrave.net\/index.php\/2024\/10\/04\/ceranakeeper-el-nuevo-grupo-apt-que-abusa-de-dropbox-y-github\/","title":{"rendered":"CeranaKeeper: El Nuevo Grupo APT Que Abusa de Dropbox y GitHub"},"content":{"rendered":"\n

Un nuevo grupo de actores maliciosos ha emergido bajo el nombre de \u00abCeranaKeeper\u00bb<\/strong>. Seg\u00fan los investigadores de seguridad de ESET<\/strong>, este grupo ha estado llevando a cabo ataques dirigidos a instituciones gubernamentales<\/strong> en Tailandia desde mediados de 2023, utilizando herramientas avanzadas y m\u00e9todos sigilosos para robar grandes cantidades de datos confidenciales. Su enfoque innovador ha captado la atenci\u00f3n de la comunidad de ciberseguridad, especialmente por su uso de plataformas leg\u00edtimas como Dropbox, OneDrive y GitHub<\/strong> para ejecutar sus ataques. Este art\u00edculo explora el modus operandi de CeranaKeeper y el impacto que est\u00e1 teniendo en la seguridad cibern\u00e9tica.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

\u00bfQui\u00e9nes son CeranaKeeper?<\/h3>\n\n\n\n

CeranaKeeper es un grupo identificado como un nuevo actor en el mundo de las Amenazas Persistentes Avanzadas (APT)<\/strong>, un tipo de ataque cibern\u00e9tico que se caracteriza por su enfoque dirigido y prolongado contra un objetivo espec\u00edfico. Este tipo de grupos suele tener v\u00ednculos con agencias estatales o servicios secretos, y CeranaKeeper parece no ser una excepci\u00f3n. Los investigadores de ESET sugieren que el grupo podr\u00eda tener conexiones con China<\/strong>, debido a la similitud en el uso de herramientas que tambi\u00e9n han sido atribuidas a otro grupo APT llamado Mustang Panda<\/strong>, conocido por sus operaciones de ciberespionaje.<\/p>\n\n\n\n

Los ataques de CeranaKeeper se centran en robar datos confidenciales<\/strong> de una agencia gubernamental en Tailandia, utilizando m\u00e9todos sofisticados para evadir la detecci\u00f3n y maximizar el \u00e9xito de sus infiltraciones. La actividad del grupo comenz\u00f3 a notarse a mediados de 2023, y desde entonces, han estado activos robando grandes vol\u00famenes de informaci\u00f3n, implementando t\u00e9cnicas que dificultan la detecci\u00f3n por parte de las autoridades.<\/p>\n\n\n\n

El Uso de Plataformas Leg\u00edtimas para Actividades Maliciosas<\/h3>\n\n\n\n

Uno de los aspectos m\u00e1s sorprendentes de las operaciones de CeranaKeeper es su uso estrat\u00e9gico de plataformas de intercambio de archivos leg\u00edtimas<\/strong> para ocultar su actividad maliciosa. Dropbox y OneDrive, servicios com\u00fanmente utilizados por empresas y usuarios para almacenar y compartir documentos de manera segura, fueron utilizados por el grupo para almacenar y transferir datos robados<\/strong>.<\/p>\n\n\n\n

La raz\u00f3n detr\u00e1s del uso de estos servicios es simple: el tr\u00e1fico de datos hacia plataformas ampliamente usadas pasa desapercibido entre el flujo habitual de informaci\u00f3n. Los administradores de sistemas pueden no notar nada inusual, ya que es com\u00fan que estos servicios manejen grandes cantidades de datos cifrados diariamente. CeranaKeeper aprovech\u00f3 esta ventaja para exfiltrar informaci\u00f3n cr\u00edtica sin levantar sospechas.<\/p>\n\n\n\n

Adem\u00e1s, GitHub<\/strong> tambi\u00e9n fue utilizado en el ataque, pero con un prop\u00f3sito diferente. Seg\u00fan los investigadores, el grupo configur\u00f3 un repositorio privado en GitHub como servidor de comando y control (C&C)<\/strong> para coordinar sus ataques. Las solicitudes de extracci\u00f3n y cierre de actividad fueron disfrazadas dentro de este repositorio, lo que hizo que sus movimientos fueran a\u00fan m\u00e1s dif\u00edciles de detectar. En este aspecto, CeranaKeeper mostr\u00f3 una notable capacidad para aprovechar herramientas leg\u00edtimas del desarrollo de software para ocultar sus actividades de espionaje.<\/p>\n\n\n\n

BingoShell: La Herramienta Clave de CeranaKeeper<\/h3>\n\n\n\n

Entre las herramientas utilizadas por CeranaKeeper, una de las m\u00e1s destacadas es BingoShell<\/strong>, un programa de reciente desarrollo que no tiene v\u00ednculos con Mustang Panda, lo que indica que CeranaKeeper ha comenzado a escribir sus propias herramientas maliciosas para fortalecer su arsenal. BingoShell parece estar dise\u00f1ado espec\u00edficamente para exfiltrar datos de manera encubierta<\/strong> y operar sin ser detectado en los sistemas comprometidos.<\/p>\n\n\n\n

El uso de BingoShell y otras herramientas personalizadas muestra que CeranaKeeper est\u00e1 creciendo en complejidad y autonom\u00eda, lo que podr\u00eda hacer que sus ataques sean a\u00fan m\u00e1s dif\u00edciles de detener en el futuro. La presencia de BingoShell en GitHub a principios de 2024 indica que el grupo ha estado operando activamente durante al menos seis meses, lo que da una idea de la sofisticaci\u00f3n y persistencia de su operaci\u00f3n.<\/p>\n\n\n\n

Implicaciones para la Seguridad Global<\/h3>\n\n\n\n

La utilizaci\u00f3n de plataformas como Dropbox, OneDrive y GitHub por parte de CeranaKeeper plantea una serie de preocupaciones para la ciberseguridad global<\/strong>. Estas plataformas son utilizadas por millones de personas en todo el mundo para actividades leg\u00edtimas, lo que complica la tarea de detectar el uso malicioso de las mismas. Los servicios en la nube, por su propia naturaleza, permiten una gran cantidad de tr\u00e1fico cifrado<\/strong>, lo que dificulta a los equipos de seguridad identificar comportamientos inusuales sin interferir en el funcionamiento cotidiano de las empresas.<\/p>\n\n\n\n

Para los administradores de sistemas y expertos en seguridad, esto implica la necesidad de redoblar los esfuerzos de monitoreo<\/strong> de la actividad en la nube y en repositorios como GitHub. Los incidentes de ciberespionaje como este demuestran que los ciberdelincuentes est\u00e1n encontrando formas cada vez m\u00e1s creativas y discretas de llevar a cabo sus ataques. Las medidas tradicionales de seguridad pueden no ser suficientes para contrarrestar estos m\u00e9todos avanzados.<\/p>\n\n\n\n

El Futuro de CeranaKeeper<\/h3>\n\n\n\n

Dado el \u00e9xito inicial de CeranaKeeper en evadir la detecci\u00f3n y su capacidad para robar datos confidenciales sin ser notados, es probable que el grupo contin\u00fae perfeccionando sus t\u00e1cticas y expandiendo sus operaciones. Su uso de plataformas leg\u00edtimas podr\u00eda servir como modelo para otros grupos de APT, que buscar\u00e1n maneras de ocultar sus actividades maliciosas entre el tr\u00e1fico de datos cotidiano.<\/p>\n\n\n\n

Sin embargo, el descubrimiento de CeranaKeeper tambi\u00e9n es un recordatorio de la importancia de la colaboraci\u00f3n internacional<\/strong> en el \u00e1mbito de la ciberseguridad. Los investigadores de ESET han desempe\u00f1ado un papel crucial al identificar las t\u00e1cticas y herramientas de este grupo, lo que permitir\u00e1 a las autoridades en todo el mundo prepararse mejor para detectar y detener<\/strong> futuros ataques.<\/p>\n\n\n\n

Conclusi\u00f3n<\/h3>\n\n\n\n

El surgimiento de CeranaKeeper<\/strong> destaca la evoluci\u00f3n de los grupos de Amenazas Persistentes Avanzadas (APT)<\/strong> en el panorama cibern\u00e9tico actual. Su habilidad para utilizar herramientas comunes como Dropbox, OneDrive y GitHub<\/strong> para llevar a cabo actividades maliciosas es un recordatorio de lo vulnerables que pueden ser las infraestructuras tecnol\u00f3gicas, incluso cuando parecen estar seguras. A medida que la ciberseguridad sigue enfrentando desaf\u00edos crecientes, es crucial que los expertos en el campo contin\u00faen innovando para protegerse contra estas amenazas sofisticadas.<\/p>\n","protected":false},"excerpt":{"rendered":"

Un nuevo grupo de actores maliciosos ha emergido bajo el<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"ngg_post_thumbnail":0,"footnotes":""},"categories":[2377,3619],"tags":[7249,7248,6143,7242,7241,1702,7244,1707,4319,4739,1743,5549,3537,7240,7243,5432,4317,7245,2002,702,179,7246,7247],"class_list":["post-2889","post","type-post","status-publish","format-standard","hentry","category-ciberseguridad","category-web","tag-actores-de-amenazas","tag-amenazas-persistentes-avanzadas","tag-ataques-dirigidos","tag-bingoshell","tag-ceranakeeper","tag-ciberseguridad","tag-comando-y-control","tag-datos-confidenciales","tag-dropbox","tag-eset","tag-espionaje-cibernetico","tag-exfiltracion-de-datos","tag-github","tag-grupo-apt","tag-herramientas-maliciosas","tag-mustang-panda","tag-onedrive","tag-repositorio-privado","tag-seguridad-de-datos","tag-seguridad-informatica","tag-servicios-en-la-nube","tag-tailandia","tag-trafico-cifrado"],"_links":{"self":[{"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/posts\/2889","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/comments?post=2889"}],"version-history":[{"count":1,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/posts\/2889\/revisions"}],"predecessor-version":[{"id":2890,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/posts\/2889\/revisions\/2890"}],"wp:attachment":[{"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/media?parent=2889"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/categories?post=2889"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/tags?post=2889"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}