Amerika’daki dışişleri bakanlıkları, Çin devlet destekli bir aktör tarafından hedef alındı. Pire 2022’nin sonlarından 2023’ün başlarına kadar uzanan yakın tarihli bir kampanyanın parçası olarak.
Broadcom’dan Symantec’e göre siber saldırılar, Graphican kod adlı yeni bir arka kapı içeriyordu. Diğer hedeflerden bazıları arasında bir devlet finans departmanı ve Amerika’da ürün pazarlayan bir şirket ile bir Avrupa ülkesinde kimliği belirsiz bir kurban yer alıyordu.
Şirket, “Flea bu kampanyada çok sayıda araç kullandı” dedi. söz konusu The Hacker News ile paylaşılan bir raporda, tehdit aktörünü “büyük ve iyi kaynaklara sahip” olarak tanımlıyorhttps://thehackernews.com/2023/06/”Saldırganlar, yeni Graphican arka kapısının yanı sıra, çeşitli – arazi dışı araçlar ve daha önce Flea ile bağlantılı olan araçlar.”
APT15, BackdoorDiplomacy, ke3chang, Nylon Typhoon (eski adıyla Nickel), Playful Taurus, Royal APT ve Vixen Panda olarak da adlandırılan Flea, en az 2004’ten beri hükümetleri, diplomatik misyonları ve büyükelçilikleri vurduğu bilinen gelişmiş bir kalıcı tehdit grubudur.
Bu Ocak ayının başlarında grup, Temmuz ve Aralık 2022 arasında İran hükümet kurumlarını hedef alan bir dizi saldırının arkasında yer aldı.
Ardından geçen ay, Kenya hükümetinin ülkedeki önemli bakanlıklar ve devlet kurumlarını hedef alan üç yıllık geniş kapsamlı bir istihbarat toplama operasyonunda seçildiği ortaya çıktı.
Ulus-devlet ekibi ayrıca birden fazla Android gözetleme kampanyasına karıştı – İpek Fasulye Ve BadBazaar – Lookout tarafından sırasıyla Temmuz 2020 ve Kasım 2022’de detaylandırıldığı üzere Çin Halk Cumhuriyeti’ndeki ve yurtdışındaki Uygurları hedef alıyor.
Graphican’ın bilinen bir Flea arka kapısının evrimi olduğu söyleniyor. Ketricanadlı yeni bir kötü amaçlı yazılımın ortaya çıkması için Okrum olarak bilinen başka bir implantla birleştirilen özellikler. Ketrum.
Arka kapı, aynı işlevselliğe sahip olmasına rağmen, komut ve kontrol (C&C) sunucusunun ayrıntılarını elde etmek için Microsoft Graph API ve OneDrive’ı kullanması nedeniyle Ketrican’dan ayrılıyor.
Symantec, “Gözlemlenen Graphican örneklerinin sabit kodlanmış bir C&C sunucusu yoktu, bunun yerine “Kişi” klasörü içindeki bir alt klasörden şifrelenmiş C&C sunucu adresini almak için Microsoft Graph API aracılığıyla OneDrive’a bağlandılar,” dedi.
“Kötü amaçlı yazılım daha sonra klasör adının kodunu çözdü ve onu kötü amaçlı yazılım için bir C&C sunucusu olarak kullandı.”
APT28 (Sofacy veya Swallowtail) ve Bad Magic (Red Stinger olarak da bilinir) gibi hem Rus hem de Çinli tehdit aktörlerinde daha önce Microsoft Graph API ve OneDrive’ın kötüye kullanıldığının gözlemlendiğini belirtmekte fayda var.
Graphican, sunucudan kontrol edilebilen etkileşimli bir komut satırı oluşturmak, dosyaları ana bilgisayara indirmek ve ilgili verileri toplamak için gizli işlemler kurmak dahil olmak üzere çalıştırılacak yeni komutlar için C&C sunucusunu yoklayacak donanıma sahiptir.
Etkinlikte kullanılan diğer dikkate değer araçlardan biri, ihlal edilmiş Microsoft Exchange sunucularında gönderilen ve alınan e-postaları ayıklamak için EWSTEW arka kapısının güncellenmiş bir sürümünü içeriyor.
Symantec, “Flea tarafından yeni bir arka kapı kullanılması, bu grubun uzun yıllara dayanan çalışmasına rağmen aktif olarak yeni araçlar geliştirmeye devam ettiğini gösteriyor” dedi. “Grup, yıllar boyunca çok sayıda özel araç geliştirdi.”
“Grafikan ile bilinen Ketrican arka kapısı arasındaki işlevsellik benzerlikleri, grubun kendisine atfedilen faaliyetlerle pek ilgilenmediğini gösterebilir.”
