A kínai APT „Flea” az egyesült államokbeli intézményeket célozza meg a Backdoor malware-rel

A kutatók felfedezték, hogy egy kínai államilag támogatott Flea színész 2022 vége és 2023 eleje között célzott kampányt folytatott az amerikai kontinensen a külügyminisztériumok ellen. A kutatók szerint a kibertámadások egy új, Graphican nevű hátsó ajtót használtak. A kampány a minisztériumok mellett egy kormányzati pénzügyi osztályt, egy Amerikában működő vállalatot, valamint egy meg nem nevezett áldozatot célozta meg Európában.

A kutatók jelentése kiemelte a Flea által használt eszközök széles arzenálját, és a fenyegetettséget jól finanszírozottnak és félelmetesnek minősítette. A Graphican backdoor mellett a támadók különféle "földön élő" eszközöket és eszközöket használtak, amelyeket korábban a Flea-val társítottak.

A Flea, más néven APT15, BackdoorDiplomacy, ke3chang, Nylon Typhoon (korábban Nickel), Playful Taurus, Royal APT és Vixen Panda egy fejlett, tartós fenyegetettségi csoport, amely már legalább 2004 óta célpontja a kormányok, diplomáciai képviseletek és nagykövetségek.

Az év elején a csoportot az iráni kormányzati szervek elleni támadássorozatnak tulajdonították 2022 júliusa és decembere között. A múlt hónapban kiderült, hogy a kenyai kormány állt egy hároméves hírszerzési művelet középpontjában, amely kulcsfontosságú minisztériumokat és minisztériumokat céloz meg. állami intézmények.

A Flea-t több Android megfigyelőkampánnyal is kapcsolatba hozták, köztük a SilkBean-nel és a BadBazaar-ral, amelyek az ujgurokat célozták Kínában és külföldön.

A Graphican Malware a meglévő Ketrican frissítése

A Graphican, a Flea által használt új hátsó ajtó egy korábbi, Ketrican nevű hátsó ajtó továbbfejlesztésének tekinthető. A Ketrican és egy másik, Okrum nevű implantátum funkcióit egyesíti, hogy létrehozzon egy új, Ketrum nevű rosszindulatú programot. A Graphican kiemelkedik a Ketrican közül azáltal, hogy a Microsoft Graph API-t és a OneDrive-ot használja a parancs- és vezérlőkiszolgáló (C&C) adatainak lekéréséhez.

A Ketricannal ellentétben a Graphican nem rendelkezik keménykódolt C&C szervercímmel. Ehelyett a Microsoft Graph API-n keresztül csatlakozik a OneDrive-hoz, hogy lekérje a titkosított C&C-kiszolgáló címét egy adott mappából. Meg kell jegyezni, hogy a Microsoft Graph API-val és a OneDrive-val való visszaélést korábban megfigyelték olyan orosz és kínai fenyegetés szereplőinél, mint az APT28 és a Bad Magic.

A Graphican képes kommunikálni a C&C szerverrel, parancsokat fogadni, interaktív parancssort létrehozni, fájlokat letölteni és titkos folyamatokat létrehozni az adatkinyeréshez.

A kampányban használt másik figyelemre méltó eszköz az EWSTEW backdoor frissített verziója, amely lehetővé teszi a küldött és fogadott e-mailek kinyerését a feltört Microsoft Exchange szerverekről.