Ngày 21 tháng 6 năm 2023Ravie Lakshmanan Đe dọa mạng / APT
Các bộ ngoại giao ở châu Mỹ đã trở thành mục tiêu của một diễn viên được nhà nước Trung Quốc bảo trợ tên là bọ chét như một phần của chiến dịch gần đây kéo dài từ cuối năm 2022 đến đầu năm 2023.
Các cuộc tấn công mạng, theo Symantec của Broadcom, liên quan đến một cửa hậu mới có tên mã là Graphican. Một số mục tiêu khác bao gồm một bộ tài chính của chính phủ và một tập đoàn tiếp thị sản phẩm ở châu Mỹ cũng như một nạn nhân không xác định ở một quốc gia châu Âu.
“Flea đã sử dụng một số lượng lớn các công cụ trong chiến dịch này”, công ty cho biết trong một báo cáo được chia sẻ với The Hacker News, mô tả tác nhân đe dọa là “lớn và có nguồn lực tốt”. “Cũng như cửa hậu Graphican mới, những kẻ tấn công đã tận dụng nhiều công cụ sống ngoài đất liền, cũng như các công cụ trước đây được liên kết với Flea.”
Bọ chét, còn được gọi là APT15, BackdoorDiplomacy, ke3chang, Nylon Typhoon (trước đây là Nickel), Playful Taurus, Royal APT và Vixen Panda, là một nhóm mối đe dọa dai dẳng nâng cao được biết là tấn công các chính phủ, cơ quan ngoại giao và đại sứ quán ít nhất là từ năm 2004.
Đầu tháng 1 này, nhóm này bị cho là đứng sau một loạt vụ tấn công nhắm vào các cơ quan chính phủ Iran từ tháng 7 đến cuối tháng 12 năm 2022.
Sau đó vào tháng trước, có thông tin cho rằng chính phủ Kenya đã bị chỉ trích trong một chiến dịch thu thập thông tin tình báo kéo dài ba năm có ảnh hưởng sâu rộng nhằm vào các bộ và cơ quan nhà nước chủ chốt của nước này.
Phi hành đoàn quốc gia cũng có liên quan đến nhiều chiến dịch giám sát Android – SilkBean và BadBazaar – nhắm mục tiêu vào người Duy Ngô Nhĩ ở Cộng hòa Nhân dân Trung Hoa và nước ngoài, như Lookout nêu chi tiết lần lượt vào tháng 7 năm 2020 và tháng 11 năm 2022.
Graphican được cho là sự phát triển của một cửa hậu Flea đã biết có tên là Ketrican, các tính năng từ đó đã được hợp nhất với một bộ cấy khác có tên là Okrum để sinh ra một phần mềm độc hại mới có tên là Ketrum.
Cửa hậu, mặc dù có cùng chức năng, nhưng khác với Ketrican ở chỗ sử dụng Microsoft Graph API và OneDrive để lấy thông tin chi tiết về máy chủ chỉ huy và kiểm soát (C&C).
Symantec cho biết: “Các mẫu Graphican được quan sát không có máy chủ C&C được mã hóa cứng, thay vào đó chúng được kết nối với OneDrive thông qua Microsoft Graph API để lấy địa chỉ máy chủ C&C được mã hóa từ một thư mục con bên trong thư mục “Person”.
HỘI THẢO TRỰC TUYẾN SẮP TỚI
🔐 Làm chủ bảo mật API: Hiểu bề mặt tấn công thực sự của bạn
Khám phá các lỗ hổng chưa được khai thác trong hệ sinh thái API của bạn và chủ động thực hiện các bước hướng tới bảo mật bọc thép. Tham gia hội thảo trên web sâu sắc của chúng tôi!
tham gia phiên
“Phần mềm độc hại sau đó đã giải mã tên thư mục và sử dụng nó làm máy chủ C&C cho phần mềm độc hại.”
Cần chỉ ra rằng việc lạm dụng Microsoft Graph API và OneDrive đã được quan sát trước đây trong trường hợp của cả các tác nhân đe dọa của Nga và Trung Quốc như APT28 (còn gọi là Sofacy hoặc Swallowtail) và Bad Magic (còn gọi là Red Stinger).
Graphican được trang bị để thăm dò máy chủ C&C để chạy các lệnh mới, bao gồm tạo một dòng lệnh tương tác có thể được kiểm soát từ máy chủ, tải tệp xuống máy chủ và thiết lập các quy trình bí mật để thu thập dữ liệu quan tâm.
Một trong những công cụ đáng chú ý khác được sử dụng trong hoạt động này bao gồm một phiên bản cập nhật của cửa hậu EWSTEW để trích xuất các email đã gửi và nhận trên các máy chủ Microsoft Exchange bị vi phạm.
Symantec cho biết: “Việc Flea sử dụng một backdoor mới cho thấy nhóm này mặc dù đã hoạt động lâu năm nhưng vẫn tiếp tục tích cực phát triển các công cụ mới. “Nhóm đã phát triển nhiều công cụ tùy chỉnh trong nhiều năm.”
“Sự tương đồng về chức năng giữa Graphican và cửa hậu Ketrican đã biết có thể chỉ ra rằng nhóm không quan tâm lắm đến việc có hoạt động được quy cho nó.”
