中国のAPT「Flea」がバックドアマルウェアで米国の機関を狙う
研究者らは、Flea と呼ばれる中国国家支援団体が、2022 年末から 2023 年初頭にかけて、アメリカ大陸の外務省に対する標的型キャンペーンを実施したことを発見しました。研究者らによると、サイバー攻撃には、Graphian という名前の新しいバックドアの使用が含まれていました。このキャンペーンは省庁に加えて、政府財務省、南北アメリカで事業を展開している企業、およびヨーロッパの不特定の被害者をターゲットにしていました。
研究者らの報告書は、Flea が使用するツールの広範な兵器庫を強調し、この攻撃者は資金が豊富で恐るべきものであると述べています。攻撃者は、Graphian バックドアに加えて、さまざまな「常駐型」ツールや、以前は Flea に関連していたツールを利用しました。
APT15、BackdoorDiplomacy、ke3chang、Nylon タイフーン (旧称 Nickel)、Playful Taurus、Royal APT、Vixen Panda としても知られる Flea は、少なくとも 2004 年以来、政府、外交使節、大使館を標的にしてきた高度な持続的脅威グループです。
今年初め、このグループは2022年7月から12月にかけてイラン政府機関に対する一連の攻撃に関与したとされていた。先月、ケニア政府が主要省庁や政府機関を対象とした3年間にわたる情報収集活動の焦点となっていたことが明らかになった。国家機関。
Flea は、中国国内外のウイグル族を標的とした SilkBean や BadBazaar など、複数の Android 監視キャンペーンにも関連しています。
Graphican マルウェアは既存の Ketrican のアップデートです
Flea が使用する新しいバックドアである Graphican は、Ketrican と呼ばれる以前のバックドアの進化版であると考えられています。 Ketrican と Okrum と呼ばれる別のインプラントの機能を組み合わせて、Ketrum という新しいマルウェアを作成します。 Graphican は、Microsoft Graph API と OneDrive を利用してコマンド アンド コントロール (C&C) サーバーの詳細を取得するという点で Ketrican よりも優れています。
Ketrican とは異なり、Graphican にはハードコーディングされた C&C サーバー アドレスがありません。代わりに、Microsoft Graph API 経由で OneDrive に接続し、特定のフォルダーから暗号化された C&C サーバー アドレスを取得します。 Microsoft Graph API と OneDrive の悪用は、APT28 や Bad Magic などのロシアや中国の攻撃者によって過去に観察されていることに注意してください。
Graphican には、C&C サーバーと通信し、コマンドを受信し、対話型コマンド ラインを作成し、ファイルをダウンロードし、データ抽出のための秘密プロセスを確立する機能があります。
このキャンペーンで使用されたもう 1 つの注目すべきツールは、EWSTEW バックドアの更新バージョンです。これにより、侵害された Microsoft Exchange サーバーから送受信された電子メールを抽出できます。