Китайская APT «Flea» нацелена на учреждения США с помощью вредоносного ПО с бэкдором

Исследователи обнаружили, что спонсируемый государством китайский актер по имени Фли проводил целенаправленную кампанию против министерств иностранных дел в Северной и Южной Америке в период с конца 2022 по начало 2023 года. По словам исследователей, кибератаки были связаны с использованием нового бэкдора под названием Graphican. Помимо министерств, кампания была нацелена на министерство финансов правительства, корпорацию, работающую в Америке, и неустановленную жертву в Европе.

В отчете исследователей подчеркивается обширный арсенал инструментов, используемых Flea, описывая злоумышленника как хорошо финансируемого и грозного. Наряду с бэкдором Graphican злоумышленники использовали различные инструменты «живущих за пределами земли» и инструменты, ранее связанные с Flea.

Flea, также известная как APT15, BackdoorDiplomacy, ke3chang, Nylon Typhoon (ранее Nickel), Playful Taurus, Royal APT и Vixen Panda, представляет собой продвинутую группу постоянных угроз, нацеленную на правительства, дипломатические миссии и посольства как минимум с 2004 года.

Ранее в этом году группировке приписывали серию атак на иранские правительственные учреждения в период с июля по декабрь 2022 года. В прошлом месяце выяснилось, что правительство Кении было в центре внимания трехлетней операции по сбору разведывательных данных, нацеленной на ключевые министерства и государственные учреждения.

Flea также был связан с несколькими кампаниями по наблюдению за Android, включая SilkBean и BadBazaar, нацеленными на уйгуров в Китае и за рубежом.

Вредоносное ПО Graphican — это обновление существующего Ketrican

Graphican, новый бэкдор, используемый Flea, считается развитием предыдущего бэкдора под названием Ketrican. Он сочетает в себе функции Ketrican и другого имплантата под названием Okrum для создания нового вредоносного ПО под названием Ketrum. Graphican отличается от Ketrican тем, что использует Microsoft Graph API и OneDrive для получения сведений о сервере управления и контроля (C&C).

В отличие от Ketrican, Graphican не имеет жестко заданного адреса C&C-сервера. Вместо этого он подключается к OneDrive через API Microsoft Graph для получения зашифрованного адреса C&C-сервера из определенной папки. Следует отметить, что злоупотребление Microsoft Graph API и OneDrive в прошлом наблюдалось с участием российских и китайских злоумышленников, таких как APT28 и Bad Magic.

Graphican имеет возможность связываться с C&C-сервером, получать команды, создавать интерактивную командную строку, загружать файлы и устанавливать скрытые процессы для извлечения данных.

Еще одним важным инструментом, используемым в кампании, является обновленная версия бэкдора EWSTEW, который позволяет извлекать отправленные и полученные электронные письма со скомпрометированных серверов Microsoft Exchange.