Специалисты команды Threat Hunter из Symantec сообщают, что китайские «правительственные» хакеры из группировки APT15 (она же Flea, BackdoorDiplomacy, ke3chang, Nylon Typhoon, Playful Taurus, Royal APT и Vixen Panda), применяют новый бэкдор Graphican.
Вредоносная кампания с использованием Graphican длилась в период с конца 2022 по начало 2023 года и была направлена на министерства иностранных дел в странах Центральной и Южной Америки.
Новый бэкдор — это эволюция старой малвари Ketrican, которую ранее использовала группировка, а не инструмент, полностью созданный с нуля. Функции Ketrican давно были объединены с другим вредоносом, Okrum, для создания новой вредоносной программы, получившей название Ketrum.
Graphican отличается от своих предшественников тем, что что использует Microsoft Graph API и OneDrive для скрытого получения адресов C&C-инфраструктуры в зашифрованном виде, что делает его более универсальным и устойчивым.
Работа Graphican на зараженном устройстве включает в себя следующее действия:
- отключение мастера первого запуска Internet Explorer 10 и страницу приветствия с помощью разделов реестра;
- проверка активности процесса iexplore.exe;
- создание глобального COM-объекта IWebBrowser2 для доступа в интернет;
- аутентификация в Microsoft Graph API для получения валидного токена доступа и refresh_token;
- использование Graph API для создания списка дочерних файлов и папок в папке OneDrive Person;
- расшифровка имени первой папки для использования в качестве C&C-сервера;
- создание уникального ID, для которого используется имя взломанного хоста, локальный IP-адрес, версия Windows, язык по умолчанию и разрядность (32- или 64-разрадная версия);
- регистрация бота на управляющем сервере, используя строку определенного формата, заполненную собранными с компьютера жертвы данными;
- регулярная проверка C&C-сервера на предмет новых команд для выполнения.
При помощи управляющего сервера злоумышленники могут отправлять малвари различные команды, включая запуск программ, загрузку новых файлов, создание интерактивной командной строки, а также настройку скрытых процессов для сбора интересующих хакеров данных.
Другие инструменты, которые исследователи Symantec связывают с новой кампанией APT15:
- EWSTEW — кастомный бэкдор APT15, извлекающий электронные письма с зараженных серверов Microsoft Exchange;
- Mimikatz, Pypykatz, Safetykatz— общедоступные инструменты для дампа учетных данных, которые используют Windows single sign-on для извлечения секретов из памяти;
- Lazagne — опенсорсный инструмент, способный извлекать пароли из ряда приложений;
- Quarks PwDump — создает дамп различных типов учетных данных Windows;
- SharpSecDump — порт .Net файла secretsdump.py от Impacket, используемый для дампа удаленных секретов SAM и LSA;
- K8Tools — инструментарий, обеспечивающий повышение привилегий, взлом паролей, сканирование, эксплуатацию уязвимостей и содержащий различные системные эксплоиты;
- EHole – выявление уязвимых систем;
- Веб-шеллы — AntSword, Behinder, China Chopper, Godzilla, дающие хакерам бэкдор-доступ к взломанным системам;
- Эксплоит для CVE-2020-1472 — уязвимость повышения привилегий, влияющая на протокол Netlogon.
Исследователи заключают, что использование нового бэкдора доказывает, что, несмотря на долгие годы активности, группировка все еще продолжает создавать новые инструменты.
«Сходство функциональности Graphican с известным бэкдором Ketrican может указывать на то, что группа не слишком обеспокоена тем, что ее связывают со всей этой активностью», — пишут специалисты.
