Новый бэкдор «Graphican» использует Graph API и OneDrive для получения адреса C2-сервера злоумышленников.
Поддерживаемая китайским правительством группировка хакеров, которую исследователи отслеживают под кодовым названием «Flea», с конца 2022 по начало 2023 года провела ряд кибератак на министерства иностранных дел в странах Северной и Южной Америки. Об этом сообщает компания Symantec, специализирующаяся на кибербезопасности.
По данным специалистов, хакеры использовали новое вредоносное ПО «Graphican», которое позволило им получить удалённый доступ к заражённым компьютерам. Кроме министерств иностранных дел среди жертв также были и другие правительственные и частные организации из разных стран.
«У Flea есть большой арсенал инструментов для этой кампании», — говорится в отчёте Symantec. «Помимо нового Graphican, злоумышленники использовали различные легитимные программы, а также специфические инструменты, которые ранее уже связывались с Flea».
Flea, также известная как APT15, BackdoorDiplomacy, ke3chang, Nylon Typhoon (ранее Nickel), Playful Taurus, Royal APT и Vixen Panda, — это группа продвинутых киберпреступников, которая атакует правительства, посольства и дипломатов с 2004 года.
В этом январе было установлено, что группа стоит за серией атак на иранские правительственные структуры с середины июля по конец декабря 2022 года. А буквально в прошлом месяце стало известно, что кенийское правительство также попало под трехлетнюю разведывательную операцию Flea, направленную на ключевые министерства и государственные учреждения в стране.
Кроме того, Flea ранее была замешана в нескольких кампаниях по слежке за пользователями Android — SilkBean и BadBazaar, которые нацеливались на уйгуров в Китае и за рубежом в июле 2020 и ноябре 2022 года соответственно.
Бэкдор Graphican, используемый хакерами в последней кампании, является эволюцией уже известного программного обеспечения Flea под названием «Ketrican». Новый вредонос использует Microsoft Graph API и OneDrive для получения адреса C2-сервера, благодаря чему и получил такое название.
Стоит отметить, что злоупотребление Microsoft Graph API и OneDrive ранее наблюдалось в случае как российских, так и китайских хакеров, таких как APT28 (также известная как Sofacy или Swallowtail) и Bad Magic (также известная как Red Stinger).
Graphican может получать произвольные команды от C2-сервера, включая создание интерактивной командной строки, загрузку файлов на хост и настройку скрытых процессов для сбора интересующих данных.
Одним из других заметных инструментов, используемых в ходе атаки, была обновленная версия вредоносного кода EWSTEW, который позволяет извлекать отправленные и полученные электронные письма со взломанных серверов Exchange.
«Использование нового вредоносного кода показывает, что группа Flea, несмотря на свою долгую историю деятельности, продолжает активно разрабатывать новые инструменты», — заключили исследователи Symantec.
01-23-2025, 03:33 AM
Linear Mode
