Οι Κινέζοι hackers που παρακολουθούνται ως APT15 εμπλέκονται σε μια νέα εκστρατεία που χρησιμοποιεί ένα backdoor με το όνομα “Graphican“. Η εκστρατεία ήταν ενεργή από τα τέλη του 2022 έως και τις αρχές του 2023.
Η κινεζική hacking ομάδα APT15, γνωστή και ως Nickel, Flea, Ke3Chang και Vixen Panda στοχεύει σημαντικούς δημόσιους και ιδιωτικούς οργανισμούς παγκοσμίως, από το 2004 τουλάχιστον.
Η ομάδα έχει χρησιμοποιήσει διάφορα malware και custom backdoors, συμπεριλαμβανομένων των RoyalCLI και RoyalDNS, Okrum, Ketrum και των λογισμικών κατασκοπείας Android, SilkBean και Moonshine. Τα backdoor malware ενέχουν σημαντικό κίνδυνο τόσο για άτομα όσο και για επιχειρήσεις. Καθώς οι hackers χρησιμοποιούν ολοένα και πιο εξελιγμένες τεχνικές για να πραγματοποιήσουν τις επιθέσεις τους, είναι σημαντικό να είστε σε εγρήγορση και να λαμβάνετε προληπτικά μέτρα για την προστασία από backdoor.
Δείτε επίσης: Χάκερ μολύνουν Linux SSH servers με το Tsunami botnet malware
Η ομάδα Threat Hunter της Symantec αναφέρει τώρα ότι η τελευταία εκστρατεία της APT15 στοχεύει υπουργεία Εξωτερικών σε χώρες της Κεντρικής και Νότιας Αμερικής.
Graphican backdoor
Σύμφωνα με τους ερευνητές, το νέο backdoor είναι μια εξέλιξη ενός παλαιότερου κακόβουλου λογισμικού και όχι ένα εργαλείο που δημιουργήθηκε από την αρχή.
Αξίζει να σημειωθεί ότι χρησιμοποιείται το Microsoft Graph API και το OneDrive για την απόκτηση των command and control (C2) infrastructure addresses, σε κρυπτογραφημένη μορφή.
Η λειτουργία του Graphican στη μολυσμένη συσκευή περιλαμβάνει τα ακόλουθα:
- Απενεργοποιεί το first-run wizard του Internet Explorer 10 και το welcome page χρησιμοποιώντας registry keys.
- Επαληθεύει εάν η διαδικασία ‘iexplore.exe’ είναι ενεργή.
- Πραγματοποιείται έλεγχος ταυτότητας με το Microsoft Graph API για access token και refresh_token.
- Κατασκευάζει ένα global IWebBrowser2 COM object για πρόσβαση στο Διαδίκτυο.
- Ελέγχει τακτικά τον διακομιστή C&C για νέες εντολές προς εκτέλεση.
- Αποκρυπτογραφεί το όνομα του πρώτου φακέλου για χρήση ως C&C server.
- και πολλά άλλα.
Κατά τη σύνδεση στον command and control server, οι Κινέζοι hackers μπορούν να στείλουν διάφορες εντολές για εκτέλεση στις μολυσμένες συσκευές, συμπεριλαμβανομένης της εκκίνησης προγραμμάτων και της λήψης νέων αρχείων.
Δείτε επίσης: Το νέο Condi malware δημιουργεί DDoS botnet από TP-Link AX21 routers
Η πλήρης λίστα των εντολών που μπορεί να στείλει ο C2 για εκτέλεση από το Graphican είναι:
- ‘C’ — Δημιουργία ενός interactive command line που ελέγχεται από τον C&C server
- ‘U’ — Δημιουργία ενός αρχείου στον απομακρυσμένο υπολογιστή
- ‘D’ — Λήψη ενός αρχείου από τον απομακρυσμένο υπολογιστή στον C&C server
- ‘N’ — Δημιουργία ενός νέου process με ένα κρυφό παράθυρο
- ‘P’ — Δημιουργία ενός νέου PowerShell process με ένα κρυφό παράθυρο και αποθήκευση των αποτελεσμάτων σε ένα προσωρινό αρχείο στο φάκελο TEMP και αποστολή τους στον C&C server.
Σύμφωνα με τους ερευνητές, οι Κινέζοι hackers APT15 χρησιμοποιούν και άλλα εργαλεία στην τελευταία εκστρατεία τους, πέρα από το Graphican backdoor:
- EWSTEW – Custom backdoor που εξάγει email από μολυσμένους Microsoft Exchange servers.
- Mimikatz, Pypykatz, Safetykatz – Δημόσια διαθέσιμα credential-dumping εργαλεία
- Lazagne – Ένα εργαλείο που μπορεί να ανακτήσει κωδικούς πρόσβασης από πολλές εφαρμογές.
- K8Tools – Ένα σύνολο εργαλείων που επιτρέπει απόκτηση περισσότερων προνομίων σε ευάλωτες συσκευές, κλοπή κωδικού πρόσβασης, σάρωση, χρήση ευπαθειών.
- και άλλα εργαλεία.
Δείτε επίσης: Πανεπιστήμιο Manchester: Οι χάκερς απειλούν με διαρροή δεδομένων
Αυτή η νέα κακόβουλη καμπάνια των Κινέζων hackers APT15 και η χρήση του νέου backdoor Graphican δείχνουν ότι η hacking ομάδα εξακολουθεί να είναι μια σημαντική απειλή. Η συγκεκριμένη ομάδα ξεκινά, συνήθως, τις επιθέσεις της με phishing emails. Ωστόσο, πολλές φορές εκμεταλλεύεται και ευάλωτα και εκτεθειμένα endpoints ή χρησιμοποιεί VPNs ως αρχικό φορέα πρόσβασης.
Πηγή: www.bleepingcomputer.com