Chiński APT „Flea” bierze na cel amerykańskie instytucje za pomocą złośliwego oprogramowania typu backdoor
Naukowcy odkryli, że sponsorowany przez państwo chiński aktor o nazwie Flea prowadził ukierunkowaną kampanię przeciwko ministerstwom spraw zagranicznych w obu Amerykach między końcem 2022 a początkiem 2023 roku. Według naukowców cyberataki obejmowały wykorzystanie nowego backdoora o nazwie Graphican. Oprócz ministerstw, celem kampanii był departament finansów rządu, korporacja działająca w obu Amerykach oraz nieokreślona ofiara w Europie.
W raporcie badaczy zwrócono uwagę na szeroki arsenał narzędzi wykorzystywanych przez Flea, opisując ugrupowanie cyberprzestępcze jako dobrze finansowanego i budzącego grozę. Wraz z backdoorem Graphican napastnicy wykorzystali różne narzędzia „żyjące poza ziemią” oraz narzędzia wcześniej powiązane z Flea.
Flea, znana również jako APT15, BackdoorDiplomacy, ke3chang, Nylon Typhoon (wcześniej Nickel), Playful Taurus, Royal APT i Vixen Panda, to zaawansowana grupa uporczywych zagrożeń, której celem są rządy, misje dyplomatyczne i ambasady od co najmniej 2004 roku.
Na początku tego roku grupie przypisywano serię ataków na irańskie podmioty rządowe między lipcem a grudniem 2022 r. W zeszłym miesiącu ujawniono, że rząd kenijski był celem trzyletniej operacji wywiadowczej wymierzonej w kluczowe ministerstwa i instytucje państwowe.
Flea był również powiązany z wieloma kampaniami inwigilacyjnymi na Androida, w tym SilkBean i BadBazaar, które były wymierzone w Ujgurów w Chinach i za granicą.
Graphican Malware to aktualizacja istniejącego Ketricana
Graphican, nowy backdoor używany przez Flea, jest uważany za ewolucję poprzedniego backdoora o nazwie Ketrican. Łączy funkcje Ketricana i innego implantu o nazwie Okrum, aby stworzyć nowe złośliwe oprogramowanie o nazwie Ketrum. Graphican wyróżnia się na tle Ketricana, wykorzystując interfejs Microsoft Graph API i OneDrive do pobierania szczegółów serwera dowodzenia i kontroli (C&C).
W przeciwieństwie do Ketrican, Graphican nie ma zakodowanego na stałe adresu serwera C&C. Zamiast tego łączy się z OneDrive za pośrednictwem Microsoft Graph API, aby uzyskać zaszyfrowany adres serwera C&C z określonego folderu. Należy zauważyć, że w przeszłości zaobserwowano nadużycia Microsoft Graph API i OneDrive ze strony rosyjskich i chińskich cyberprzestępców, takich jak APT28 i Bad Magic.
Graphican ma możliwość komunikowania się z serwerem C&C, odbierania poleceń, tworzenia interaktywnej linii poleceń, pobierania plików i ustanawiania tajnych procesów ekstrakcji danych.
Innym godnym uwagi narzędziem wykorzystywanym w kampanii jest zaktualizowana wersja backdoora EWSTEW, który umożliwia wyodrębnianie wysłanych i odebranych wiadomości e-mail z zaatakowanych serwerów Microsoft Exchange.