Китайские хакеры атаковали министерства иностранных дел по всей Америке

Поддерживаемая китайским правительством группировка хакеров, которую исследователи отслеживают под кодовым названием “Flea”, с конца 2022 по начало 2023 года провела ряд кибератак на министерства иностранных дел в странах Северной и Южной Америки. Об этом сообщаеткомпания Symantec, специализирующаяся на кибербезопасности.

По данным специалистов, хакеры использовали новое вредоносное ПО “Graphican”, которое позволило им получить удалённый доступ к заражённым компьютерам. Кроме министерств иностранных дел среди жертв также были и другие правительственные и частные организации из разных стран.

“У Flea есть большой арсенал инструментов для этой кампании”, – говорится в отчёте Symantec. “Помимо нового Graphican, злоумышленники использовали различные легитимные программы, а также специфические инструменты, которые ранее уже связывались с Flea”.

Flea, также известная как APT15, BackdoorDiplomacy, ke3chang, Nylon Typhoon (ранее Nickel), Playful Taurus, Royal APT и Vixen Panda, – это группа продвинутых киберпреступников, которая атакует правительства, посольства и дипломатов с 2004 года.

В этом январе было установлено, что группа стоит за серией атак на иранские правительственные структуры с середины июля по конец декабря 2022 года. А буквально в прошлом месяце стало известно, что кенийское правительство также попало под трехлетнюю разведывательную операцию Flea, направленную на ключевые министерства и государственные учреждения в стране.

Кроме того, Flea ранее была замешана в нескольких кампаниях по слежке за пользователями Android – SilkBean и BadBazaar, которые нацеливались на уйгуров в Китае и за рубежом в июле 2020 и ноябре 2022 года соответственно.

Бэкдор Graphican, используемый хакерами в последней кампании, является эволюцией уже известного программного обеспечения Flea под названием “Ketrican”. Новый вредонос использует Microsoft Graph API и OneDrive для получения адреса C2-сервера, благодаря чему и получил такое название.

Стоит отметить, что злоупотребление Microsoft Graph API и OneDrive ранее наблюдалось в случае как российских, так и китайских хакеров, таких как APT28 (также известная как Sofacy или Swallowtail) и Bad Magic (также известная как Red Stinger).

Graphican может получать произвольные команды от C2-сервера, включая создание интерактивной командной строки, загрузку файлов на хост и настройку скрытых процессов для сбора интересующих данных.

Одним из других заметных инструментов, используемых в ходе атаки, была обновленная версия вредоносного кода EWSTEW, который позволяет извлекать отправленные и полученные электронные письма со взломанных серверов Exchange.

“Использование нового вредоносного кода показывает, что группа Flea, несмотря на свою долгую историю деятельности, продолжает активно разрабатывать новые инструменты”, – заключили исследователи Symantec.

Public Release.