Kinesisk APT 'Flea' retter sig mod amerikanske institutioner med bagdørsmalware

Forskere har opdaget, at en kinesisk statssponsoreret skuespiller ved navn Flea gennemførte en målrettet kampagne mod udenrigsministerier i Amerika mellem slutningen af 2022 og begyndelsen af 2023. Ifølge forskerne involverede cyberangrebene brugen af en ny bagdør ved navn Graphican. Ud over ministerierne var kampagnen rettet mod en statsfinansafdeling, et selskab, der opererer i Amerika, og et uspecificeret offer i Europa.

Rapporten fra forskerne fremhævede det omfattende arsenal af værktøjer, som Flea anvender, og beskriver trusselsaktøren som velfinansieret og formidabel. Sammen med den grafiske bagdør brugte angriberne forskellige "living-off-the-land" værktøjer og værktøjer, der tidligere var forbundet med Flea.

Flea, også kendt som APT15, BackdoorDiplomacy, ke3chang, Nylon Typhoon (tidligere Nickel), Playful Taurus, Royal APT og Vixen Panda, er en avanceret vedvarende trusselgruppe, der har været målrettet mod regeringer, diplomatiske missioner og ambassader siden mindst 2004.

Tidligere i år blev gruppen tilskrevet en række angreb på iranske regeringsenheder mellem juli og december 2022. Sidste måned blev det afsløret, at den kenyanske regering havde været i fokus for en tre-årig efterretningsindsamlingsoperation rettet mod centrale ministerier og statslige institutioner.

Flea er også blevet forbundet med flere Android-overvågningskampagner, herunder SilkBean og BadBazaar, som var rettet mod uighurer i Kina og i udlandet.

Graphican Malware er en opdatering til eksisterende Ketrican

Graphican, den nye bagdør brugt af Flea, betragtes som en udvikling af en tidligere bagdør kaldet Ketrican. Den kombinerer funktioner fra Ketrican og et andet implantat kaldet Okrum for at skabe en ny malware ved navn Ketrum. Graphican skiller sig ud fra Ketrican ved at bruge Microsoft Graph API og OneDrive til at hente detaljerne på kommando-og-kontrol-serveren (C&C).

I modsætning til Ketrican har Graphican ikke en hårdkodet C&C-serveradresse. I stedet forbinder den til OneDrive via Microsoft Graph API for at få den krypterede C&C-serveradresse fra en bestemt mappe. Det skal bemærkes, at misbrug af Microsoft Graph API og OneDrive er blevet observeret tidligere med russiske og kinesiske trusselsaktører som APT28 og Bad Magic.

Graphican har evnen til at kommunikere med C&C-serveren, modtage kommandoer, oprette en interaktiv kommandolinje, downloade filer og etablere hemmelige processer til dataudtræk.

Et andet bemærkelsesværdigt værktøj, der bruges i kampagnen, er en opdateret version af EWSTEW-bagdøren, som tillader udtrækning af sendte og modtagne e-mails fra kompromitterede Microsoft Exchange-servere.