Chinesisches APT „Flea“ zielt mit Backdoor-Malware auf US-Institutionen ab

Forscher haben herausgefunden, dass ein staatlich geförderter chinesischer Akteur namens Flea zwischen Ende 2022 und Anfang 2023 eine gezielte Kampagne gegen Außenministerien in Amerika durchgeführt hat. Den Forschern zufolge beinhalteten die Cyberangriffe den Einsatz einer neuen Hintertür namens Graphican. Zusätzlich zu den Ministerien richtete sich die Kampagne gegen eine staatliche Finanzabteilung, ein in Amerika tätiges Unternehmen und ein nicht näher bezeichnetes Opfer in Europa.

Der Bericht der Forscher hob das umfangreiche Arsenal an von Flea eingesetzten Tools hervor und beschrieb den Bedrohungsakteur als gut finanziert und beeindruckend. Neben der Graphican-Hintertür nutzten die Angreifer verschiedene „Living-off-the-Land“-Tools und Tools, die zuvor mit Flea in Verbindung gebracht wurden.

Flea, auch bekannt als APT15, BackdoorDiplomacy, ke3chang, Nylon Typhoon (ehemals Nickel), Playful Taurus, Royal APT und Vixen Panda, ist eine fortgeschrittene, persistente Bedrohungsgruppe, die seit mindestens 2004 Regierungen, diplomatische Missionen und Botschaften ins Visier nimmt.

Anfang dieses Jahres wurde der Gruppe eine Reihe von Angriffen auf iranische Regierungsstellen zwischen Juli und Dezember 2022 zugeschrieben. Letzten Monat wurde bekannt, dass die kenianische Regierung im Mittelpunkt einer dreijährigen Geheimdienstoperation stand, die sich gegen wichtige Ministerien und Ministerien richtete staatliche Einrichtungen.

Flea wurde auch mit mehreren Android-Überwachungskampagnen in Verbindung gebracht, darunter SilkBean und BadBazaar, die sich gegen Uiguren in China und im Ausland richteten.

Graphican Malware ist ein Update des vorhandenen Ketrican

Graphican, die neue Hintertür von Flea, gilt als Weiterentwicklung einer früheren Hintertür namens Ketrican. Es kombiniert Funktionen von Ketrican und einem anderen Implantat namens Okrum, um eine neue Malware namens Ketrum zu erstellen. Graphican unterscheidet sich von Ketrican dadurch, dass es die Microsoft Graph-API und OneDrive nutzt, um die Details des Command-and-Control-Servers (C&C) abzurufen.

Im Gegensatz zu Ketrican verfügt Graphican nicht über eine fest codierte C&C-Serveradresse. Stattdessen stellt es über die Microsoft Graph-API eine Verbindung zu OneDrive her, um die verschlüsselte C&C-Serveradresse aus einem bestimmten Ordner abzurufen. Es ist zu beachten, dass der Missbrauch der Microsoft Graph API und OneDrive in der Vergangenheit bei russischen und chinesischen Bedrohungsakteuren wie APT28 und Bad Magic beobachtet wurde.

Graphican verfügt über die Fähigkeit, mit dem C&C-Server zu kommunizieren, Befehle zu empfangen, eine interaktive Befehlszeile zu erstellen, Dateien herunterzuladen und verdeckte Prozesse zur Datenextraktion einzurichten.

Ein weiteres bemerkenswertes Tool, das in der Kampagne verwendet wird, ist eine aktualisierte Version der EWSTEW-Backdoor, die das Extrahieren gesendeter und empfangener E-Mails von kompromittierten Microsoft Exchange-Servern ermöglicht.