Kinijos APT „Flea“ taikosi į JAV institucijas su „Backdoor“ kenkėjiška programa

Tyrėjai išsiaiškino, kad Kinijos valstybės remiamas veikėjas Flea surengė tikslinę kampaniją prieš užsienio reikalų ministerijas Amerikoje nuo 2022 m. pabaigos iki 2023 m. pradžios. Tyrėjų teigimu, kibernetinės atakos buvo susijusios su naujų užpakalinių durų, pavadintų Graphican, naudojimu. Be ministerijų, kampanija buvo skirta vyriausybės finansų departamentui, Amerikoje veikiančiai korporacijai ir nenurodytai aukai Europoje.

Tyrėjų ataskaitoje pabrėžtas platus Flea naudojamų įrankių arsenalas, apibūdinant grėsmės veikėją kaip gerai finansuojamą ir didžiulį. Kartu su „Graphican“ užpakalinėmis durimis užpuolikai naudojo įvairius „gyvenimo ne žemėje“ įrankius ir įrankius, kurie anksčiau buvo siejami su „Flea“.

Flea, taip pat žinoma kaip APT15, BackdoorDiplomacy, ke3chang, Nylon Typhoon (anksčiau Nickel), Playful Taurus, Royal APT ir Vixen Panda, yra pažangi nuolatinių grėsmių grupė, kuri nusitaikė į vyriausybes, diplomatines atstovybes ir ambasadas mažiausiai nuo 2004 m.

Šių metų pradžioje ši grupuotė buvo priskirta prie daugybės išpuolių prieš Irano vyriausybės subjektus 2022 m. liepos–gruodžio mėn. Praėjusį mėnesį buvo atskleista, kad Kenijos vyriausybė buvo trejus metus trukusios žvalgybos informacijos rinkimo operacijos, nukreiptos prieš pagrindines ministerijas ir ministerijas, dėmesio centre. valstybines institucijas.

„Flea“ taip pat buvo susieta su keliomis „Android“ stebėjimo kampanijomis, įskaitant „SilkBean“ ir „BadBazaar“, kurios buvo skirtos uigūrams Kinijoje ir užsienyje.

Graphican kenkėjiška programa yra esamo Ketrican atnaujinimas

Graphican, naujos užpakalinės durys, kurias naudoja Flea, yra laikomos ankstesnių užpakalinių durų, vadinamų Ketrican, evoliucija. Jis sujungia „Ketrican“ ir kito implanto „Okrum“ funkcijas, kad sukurtų naują kenkėjišką programą pavadinimu „Ketrum“. „Graphican“ išsiskiria iš „Ketrican“ naudodamas „Microsoft Graph API“ ir „OneDrive“, kad gautų išsamią komandų ir valdymo (C&C) serverio informaciją.

Skirtingai nei Ketrican, Graphican neturi užkoduoto C&C serverio adreso. Vietoj to, jis prisijungia prie OneDrive per Microsoft Graph API, kad gautų užšifruotą C&C serverio adresą iš konkretaus aplanko. Reikėtų pažymėti, kad anksčiau buvo pastebėtas piktnaudžiavimas „Microsoft Graph API“ ir „OneDrive“ su tokiais Rusijos ir Kinijos grėsmių veikėjais kaip APT28 ir „Bad Magic“.

Graphican turi galimybę bendrauti su C&C serveriu, gauti komandas, sukurti interaktyvią komandų eilutę, atsisiųsti failus ir nustatyti slaptus duomenų išgavimo procesus.

Kitas svarbus kampanijoje naudojamas įrankis yra atnaujinta EWSTEW backdoor versija, leidžianti išgauti išsiųstus ir gautus el. laiškus iš pažeistų Microsoft Exchange serverių.