Chinese APT 'Flea' richt zich op Amerikaanse instellingen met backdoor-malware

Onderzoekers hebben ontdekt dat een Chinese door de staat gesponsorde acteur genaamd Flea tussen eind 2022 en begin 2023 een gerichte campagne voerde tegen ministeries van Buitenlandse Zaken in Amerika. Volgens de onderzoekers ging het bij de cyberaanvallen om het gebruik van een nieuwe achterdeur genaamd Graphican. Naast de ministeries was de campagne gericht op een overheidsfinanciënafdeling, een bedrijf dat actief is in Noord- en Zuid-Amerika en een niet nader gespecificeerd slachtoffer in Europa.

Het rapport van de onderzoekers benadrukte het uitgebreide arsenaal aan tools dat door Flea wordt gebruikt, en beschrijft de bedreigingsactor als goed gefinancierd en formidabel. Samen met de Graphican-achterdeur gebruikten de aanvallers verschillende "living-off-the-land"-tools en tools die voorheen in verband werden gebracht met Flea.

Flea, ook bekend als APT15, BackdoorDiplomacy, ke3chang, Nylon Typhoon (voorheen Nickel), Playful Taurus, Royal APT en Vixen Panda, is een geavanceerde hardnekkige dreigingsgroep die zich al sinds 2004 richt op regeringen, diplomatieke missies en ambassades.

Eerder dit jaar werd de groep toegeschreven aan een reeks aanvallen op Iraanse overheidsinstanties tussen juli en december 2022. Vorige maand werd onthuld dat de Keniaanse regering het middelpunt was van een drie jaar durende operatie voor het verzamelen van inlichtingen, gericht op belangrijke ministeries en staatsinstellingen.

Flea is ook in verband gebracht met meerdere Android-surveillancecampagnes, waaronder SilkBean en BadBazaar, gericht op Oeigoeren in China en in het buitenland.

Graphican Malware is een update van de bestaande Ketrican

Graphican, de nieuwe achterdeur die door Flea wordt gebruikt, wordt beschouwd als een evolutie van een eerdere achterdeur genaamd Ketrican. Het combineert functies van Ketrican en een ander implantaat genaamd Okrum om een nieuwe malware genaamd Ketrum te creëren. Graphican onderscheidt zich van Ketrican door gebruik te maken van de Microsoft Graph API en OneDrive om de details van de command-and-control (C&C)-server op te halen.

In tegenstelling tot Ketrican heeft Graphican geen hardgecodeerd C&C-serveradres. In plaats daarvan maakt het verbinding met OneDrive via de Microsoft Graph API om het versleutelde C&C-serveradres uit een specifieke map te halen. Opgemerkt moet worden dat het misbruik van Microsoft Graph API en OneDrive in het verleden is waargenomen bij Russische en Chinese bedreigingsactoren zoals APT28 en Bad Magic.

Graphican heeft de mogelijkheid om met de C&C-server te communiceren, opdrachten te ontvangen, een interactieve opdrachtregel te maken, bestanden te downloaden en geheime processen voor gegevensextractie op te zetten.

Een andere opmerkelijke tool die in de campagne wordt gebruikt, is een bijgewerkte versie van de EWSTEW-achterdeur, waarmee verzonden en ontvangen e-mails van gecompromitteerde Microsoft Exchange-servers kunnen worden geëxtraheerd.