Το κινεζικό APT «Ψύλλος» στοχεύει ιδρύματα των ΗΠΑ με κακόβουλο λογισμικό Backdoor

Ερευνητές ανακάλυψαν ότι ένας κινέζος κρατικός ηθοποιός ονόματι Flea διεξήγαγε μια στοχευμένη εκστρατεία κατά των υπουργείων Εξωτερικών στην Αμερική από τα τέλη του 2022 έως τις αρχές του 2023. Σύμφωνα με τους ερευνητές, οι επιθέσεις στον κυβερνοχώρο περιλάμβαναν τη χρήση μιας νέας κερκόπορτας με το όνομα Graphican. Εκτός από τα υπουργεία, η εκστρατεία στόχευσε ένα κυβερνητικό τμήμα οικονομικών, μια εταιρεία που δραστηριοποιείται στην Αμερική και ένα απροσδιόριστο θύμα στην Ευρώπη.

Η έκθεση των ερευνητών τόνισε το εκτεταμένο οπλοστάσιο εργαλείων που χρησιμοποιεί η Flea, περιγράφοντας τον παράγοντα της απειλής ως καλά χρηματοδοτούμενο και τρομερό. Μαζί με την κερκόπορτα του Graphican, οι επιτιθέμενοι χρησιμοποίησαν διάφορα εργαλεία και εργαλεία που συνδέονταν προηγουμένως με το Flea.

Η Flea, γνωστή και ως APT15, BackdoorDiplomacy, ke3chang, Nylon Typhoon (πρώην Nickel), Playful Taurus, Royal APT και Vixen Panda, είναι μια προηγμένη ομάδα επίμονων απειλών που στοχεύει κυβερνήσεις, διπλωματικές αποστολές και πρεσβείες τουλάχιστον από το 2004.

Νωρίτερα αυτό το έτος, η ομάδα αποδόθηκε σε μια σειρά επιθέσεων σε ιρανικές κυβερνητικές οντότητες μεταξύ Ιουλίου και Δεκεμβρίου 2022. Τον περασμένο μήνα, αποκαλύφθηκε ότι η κυβέρνηση της Κένυας είχε βρεθεί στο επίκεντρο μιας τριετούς επιχείρησης συλλογής πληροφοριών με στόχο βασικά υπουργεία και κρατικούς θεσμούς.

Το Flea έχει επίσης συνδεθεί με πολλές εκστρατείες παρακολούθησης Android, συμπεριλαμβανομένων των SilkBean και BadBazaar, που στόχευαν Ουιγούρους στην Κίνα και στο εξωτερικό.

Το κακόβουλο λογισμικό Graphican είναι μια ενημέρωση του υπάρχοντος Ketrican

Το Graphican, το νέο backdoor που χρησιμοποιεί η Flea, θεωρείται εξέλιξη μιας προηγούμενης κερκόπορτας που ονομάζεται Ketrican. Συνδυάζει χαρακτηριστικά από το Ketrican και ένα άλλο εμφύτευμα που ονομάζεται Okrum για να δημιουργήσει ένα νέο κακόβουλο λογισμικό που ονομάζεται Ketrum. Το Graphican ξεχωρίζει από το Ketrican χρησιμοποιώντας το Microsoft Graph API και το OneDrive για την ανάκτηση των λεπτομερειών του διακομιστή εντολών και ελέγχου (C&C).

Σε αντίθεση με το Ketrican, το Graphican δεν έχει κωδικοποιημένη διεύθυνση διακομιστή C&C. Αντίθετα, συνδέεται στο OneDrive μέσω του Microsoft Graph API για να αποκτήσει την κρυπτογραφημένη διεύθυνση διακομιστή C&C από έναν συγκεκριμένο φάκελο. Θα πρέπει να σημειωθεί ότι κατάχρηση του Microsoft Graph API και του OneDrive έχει παρατηρηθεί στο παρελθόν με Ρώσους και Κινέζους παράγοντες απειλών όπως το APT28 και το Bad Magic.

Το Graphican έχει τη δυνατότητα να επικοινωνεί με τον διακομιστή C&C, να λαμβάνει εντολές, να δημιουργεί μια διαδραστική γραμμή εντολών, να κατεβάζει αρχεία και να δημιουργεί κρυφές διαδικασίες για την εξαγωγή δεδομένων.

Ένα άλλο αξιοσημείωτο εργαλείο που χρησιμοποιείται στην καμπάνια είναι μια ενημερωμένη έκδοση του backdoor EWSTEW, η οποία επιτρέπει την εξαγωγή απεσταλμένων και ληφθέντων email από παραβιασμένους διακομιστές του Microsoft Exchange.