中国 APT“跳蚤”利用后门恶意软件瞄准美国机构

研究人员发现，一个名为 Flea 的中国国家资助者在 2022 年底至 2023 年初期间针对美洲外交部开展了一场有针对性的活动。研究人员表示，网络攻击涉及使用名为 Graphican 的新后门。除了各部委外，该活动还针对政府财务部门、一家在美洲运营的公司以及欧洲的一个未具体说明的受害者。

研究人员的报告强调了 Flea 使用的广泛工具库，将威胁行为者描述为资金充足且强大。除了 Graphican 后门之外，攻击者还利用了各种“离地生活”工具和以前与 Flea 相关的工具。

Flea，也称为 APT15、BackdoorDiplomacy、ke3chang、Nylon Typhoon（以前称为 Nickel）、Playful Taurus、Royal APT 和 Vixen Panda，是一个高级持续威胁组织，至少自 2004 年以来一直以政府、外交使团和大使馆为目标。

今年早些时候，该组织被认为在 2022 年 7 月至 12 月期间对伊朗政府实体发动了一系列袭击。上个月，据透露，肯尼亚政府一直是针对关键部委和政府机构的为期三年情报收集行动的重点。国家机构。

Flea 还与多个 Android 监控活动有关，包括 SilkBean 和 BadBazaar，这些活动针对中国和海外的维吾尔人。

Graphican 恶意软件是现有 Ketrican 的更新

Graphican 是 Flea 使用的新后门，被认为是之前称为 Ketrican 的后门的演变。它结合了 Ketrican 和另一个名为 Okrum 的植入程序的功能，创建了一个名为 Ketrum 的新恶意软件。 Graphican 通过利用 Microsoft Graph API 和 OneDrive 来检索命令和控制 (C&C) 服务器的详细信息，从而从 Ketrican 中脱颖而出。

与 Ketrican 不同，Graphican 没有硬编码的 C&C 服务器地址。相反，它通过 Microsoft Graph API 连接到 OneDrive，以从特定文件夹获取加密的 C&C 服务器地址。值得注意的是，过去曾观察到 APT28 和 Bad Magic 等俄罗斯和中国威胁行为者滥用 Microsoft Graph API 和 OneDrive。

Graphican 能够与 C&C 服务器通信、接收命令、创建交互式命令行、下载文件以及建立用于数据提取的隐蔽进程。

该活动中使用的另一个值得注意的工具是 EWSTEW 后门的更新版本，它允许从受感染的 Microsoft Exchange 服务器中提取发送和接收的电子邮件。