L’ultimo report di WeLiveSecurity by ESET Research esamina le attività di Bee Panda (anche noto come Emissary Panda) e CeranaKeeper, due gruppi di hacker noti per aver condotto attacchi mirati principalmente contro istituzioni thailandesi. Questi gruppi hanno utilizzato tecniche avanzate e malware sofisticati per ottenere l’accesso non autorizzato a reti e dati sensibili.
Chi sono Bee Panda e CeranaKeeper?
Bee Panda, identificato anche come Emissary Panda, è un gruppo di hacker associato a operazioni di spionaggio informatico sponsorizzate dalla Cinai, con un focus su obiettivi politici e militari in Asia. Il gruppo ha un modus operandi caratterizzato dall’uso di backdoor avanzate e tecniche di evasione per evitare la rilevazione da parte dei sistemi di sicurezza. Le loro attività sono orientate al furto di informazioni sensibili, e il loro interesse verso la Thailandia potrebbe essere legato a questioni geopolitiche e commerciali.
CeranaKeeper, d’altra parte, è una denominazione utilizzata per indicare un gruppo che sfrutta malware personalizzati. Sebbene meno noto rispetto a Bee Panda, CeranaKeeper si distingue per l’uso di strumenti e tecniche di hacking ben organizzate che puntano ad ottenere accesso prolungato ai sistemi delle vittime. Le tattiche includono l’uso di malware per il furto di credenziali e movimenti laterali all’interno delle reti compromesse.
Tecniche e malware utilizzati negli attacchi in Thailandia
Gli attacchi attribuiti a Bee Panda e CeranaKeeper in Thailandia, monitorati da Eset, hanno mostrato l’uso di diverse tecniche per compromettere i sistemi delle vittime:
- Backdoor avanzate: Bee Panda utilizza backdoor progettate per ottenere accesso remoto ai sistemi target, consentendo loro di esfiltrare dati, installare ulteriori payload malevoli e controllare i sistemi compromessi. Una delle backdoor più comunemente utilizzate è PlugX, nota per le sue capacità di persistenza e di spostamento laterale.
- Phishing mirato (Spear-phishing): Per iniziare un attacco, entrambi i gruppi fanno affidamento su email di spear-phishing, che contengono allegati dannosi o link che portano a siti compromessi. Le email sono spesso progettate per apparire come comunicazioni ufficiali di enti governativi o commerciali, aumentando le possibilità che le vittime aprano gli allegati infetti o inseriscano dati sensibili nei siti falsi.
- Uso di exploit e vulnerabilità zero-day: CeranaKeeper è noto per sfruttare vulnerabilità non ancora corrette nei software (zero-day) per accedere ai sistemi delle vittime. Una volta ottenuto l’accesso iniziale, i criminali utilizzano strumenti di post-exploitation per stabilire una presenza più profonda nella rete e rubare credenziali di alto valore.
- Movimenti laterali e furto di credenziali: Entrambi i gruppi utilizzano tecniche per ottenere accesso ad account privilegiati e muoversi lateralmente tra i vari sistemi di una rete. Questo permette loro di estendere la loro presenza nella rete compromessa, raccogliendo dati sensibili e ottenendo informazioni su ulteriori obiettivi da attaccare.
Impatto degli attacchi sulla Thailandia e misure di mitigazione
Gli attacchi condotti da Bee Panda e CeranaKeeper in Thailandia hanno avuto un impatto significativo su istituzioni governative, militari e commerciali. L’obiettivo principale è ottenere informazioni riservate che possono essere utilizzate per attività di spionaggio, influenzare decisioni politiche o ottenere vantaggi commerciali.
L’evoluzione delle minacce cyber in Asia
Gli attacchi di Bee Panda e CeranaKeeper in Thailandia sono un esempio di come le minacce cyber si stiano evolvendo in Asia, con attacchi sempre più mirati e sofisticati. La collaborazione tra governi, aziende private e comunità di sicurezza informatica è essenziale per combattere queste minacce e proteggere i dati sensibili da attacchi di spionaggio e furto di informazioni.
