中國 APT“跳蚤”利用後門惡意軟件瞄準美國機構

研究人員發現，一個名為 Flea 的中國國家資助者在 2022 年底至 2023 年初期間針對美洲外交部開展了一場有針對性的活動。研究人員表示，網絡攻擊涉及使用名為 Graphican 的新後門。除了各部委外，該活動還針對政府財務部門、一家在美洲運營的公司以及歐洲的一個未具體說明的受害者。

研究人員的報告強調了 Flea 使用的廣泛工具庫，將威脅行為者描述為資金充足且強大。除了 Graphican 後門之外，攻擊者還利用了各種“離地生活”工具和以前與 Flea 相關的工具。

Flea，也稱為 APT15、BackdoorDiplomacy、ke3chang、Nylon Typhoon（以前稱為 Nickel）、Playful Taurus、Royal APT 和 Vixen Panda，是一個高級持續威脅組織，至少自 2004 年以來一直以政府、外交使團和大使館為目標。

今年早些時候，該組織被認為在 2022 年 7 月至 12 月期間對伊朗政府實體發動了一系列襲擊。上個月，據透露，肯尼亞政府一直是針對關鍵部委和政府機構的為期三年情報收集行動的重點。國家機構。

Flea 還與多個 Android 監控活動有關，包括 SilkBean 和 BadBazaar，這些活動針對中國和海外的維吾爾人。

Graphican 惡意軟件是現有 Ketrican 的更新

Graphican 是 Flea 使用的新後門，被認為是之前稱為 Ketrican 的後門的演變。它結合了 Ketrican 和另一個名為 Okrum 的植入程序的功能，創建了一個名為 Ketrum 的新惡意軟件。 Graphican 通過利用 Microsoft Graph API 和 OneDrive 來檢索命令和控制 (C&C) 服務器的詳細信息，從而從 Ketrican 中脫穎而出。

與 Ketrican 不同，Graphican 沒有硬編碼的 C&C 服務器地址。相反，它通過 Microsoft Graph API 連接到 OneDrive，以從特定文件夾獲取加密的 C&C 服務器地址。值得注意的是，過去曾觀察到 APT28 和 Bad Magic 等俄羅斯和中國威脅行為者濫用 Microsoft Graph API 和 OneDrive。

Graphican 能夠與 C&C 服務器通信、接收命令、創建交互式命令行、下載文件以及建立用於數據提取的隱蔽進程。

該活動中使用的另一個值得注意的工具是 EWSTEW 後門的更新版本，它允許從受感染的 Microsoft Exchange 服務器中提取發送和接收的電子郵件。