Kinesisk APT 'Flea' retter seg mot amerikanske institusjoner med bakdørs skadelig programvare

Forskere har oppdaget at en kinesisk statsstøttet skuespiller kalt Flea gjennomførte en målrettet kampanje mot utenriksdepartementer i Amerika mellom slutten av 2022 og tidlig i 2023. Ifølge forskerne involverte cyberangrepene bruk av en ny bakdør ved navn Graphican. I tillegg til departementene var kampanjen rettet mot en offentlig finansavdeling, et selskap som opererer i Amerika og et uspesifisert offer i Europa.

Rapporten fra forskerne fremhevet det omfattende arsenalet av verktøy som Flea bruker, og beskrev trusselaktøren som velfinansiert og formidabel. Sammen med den grafiske bakdøren, brukte angriperne forskjellige "living-off-the-land"-verktøy og verktøy som tidligere var knyttet til Flea.

Flea, også kjent som APT15, BackdoorDiplomacy, ke3chang, Nylon Typhoon (tidligere Nickel), Playful Taurus, Royal APT og Vixen Panda, er en avansert vedvarende trusselgruppe som har vært rettet mot regjeringer, diplomatiske oppdrag og ambassader siden minst 2004.

Tidligere i år ble gruppen tilskrevet en rekke angrep på iranske regjeringsenheter mellom juli og desember 2022. I forrige måned ble det avslørt at den kenyanske regjeringen hadde vært i fokus for en tre år lang etterretningsinnhentingsoperasjon rettet mot sentrale departementer og statlige institusjoner.

Flea har også blitt knyttet til flere Android-overvåkingskampanjer, inkludert SilkBean og BadBazaar, som rettet mot uigurer i Kina og i utlandet.

Graphican Malware er en oppdatering til eksisterende Ketrican

Graphican, den nye bakdøren brukt av Flea, regnes som en videreutvikling av en tidligere bakdør kalt Ketrican. Den kombinerer funksjoner fra Ketrican og et annet implantat kalt Okrum for å lage en ny skadelig programvare kalt Ketrum. Graphican skiller seg ut fra Ketrican ved å bruke Microsoft Graph API og OneDrive for å hente detaljene til kommando-og-kontroll-serveren (C&C).

I motsetning til Ketrican, har ikke Graphican en hardkodet C&C-serveradresse. I stedet kobles den til OneDrive via Microsoft Graph API for å få den krypterte C&C-serveradressen fra en bestemt mappe. Det skal bemerkes at misbruk av Microsoft Graph API og OneDrive har blitt observert tidligere med russiske og kinesiske trusselaktører som APT28 og Bad Magic.

Graphican har evnen til å kommunisere med C&C-serveren, motta kommandoer, lage en interaktiv kommandolinje, laste ned filer og etablere skjulte prosesser for datautvinning.

Et annet bemerkelsesverdig verktøy som brukes i kampanjen er en oppdatert versjon av EWSTEW-bakdøren, som tillater utvinning av sendte og mottatte e-poster fra kompromitterte Microsoft Exchange-servere.