{"id":5000,"date":"2023-06-24T18:37:39","date_gmt":"2023-06-24T16:37:39","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=5000"},"modified":"2023-06-24T18:37:39","modified_gmt":"2023-06-24T16:37:39","slug":"kineska-apt15-grupa-i-graphican-zlonamjerni-softver","status":"publish","type":"post","link":"http:\/\/sajberinfo.com\/en\/2023\/06\/24\/kineska-apt15-grupa-i-graphican-zlonamjerni-softver\/","title":{"rendered":"Kineska APT15 grupa i Graphican zlonamjerni softver"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\">Sigurnosni istra\u017eiva\u010di <em>Symantec<\/em> <em>Threat<\/em> <em>Hunter<\/em> <em>Team<\/em> <a href=\"https:\/\/symantec-enterprise-blogs.security.com\/blogs\/threat-intelligence\/flea-backdoor-microsoft-graph-apt15\" target=\"_blank\" rel=\"noopener\">su otkrili<\/a> naprednu trajnu prijetnju \u2013 <a href=\"https:\/\/sajberinfo.com\/en\/2020\/12\/08\/apt-sponzorisani-napadi\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>APT<\/em><\/a> iza koje stoji grupa pod nazivom <em>Flea<\/em>, poznata jo\u0161 kao <em>APT15<\/em> i <em>Nickel<\/em>, porijeklom iz Kine.<\/span><\/p>\n<div id=\"attachment_5001\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-5001\" class=\"size-full wp-image-5001\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/06\/Graphican-malware.jpg\" alt=\"APT15\" width=\"1024\" height=\"539\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/06\/Graphican-malware.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/06\/Graphican-malware-300x158.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/06\/Graphican-malware-768x404.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/06\/Graphican-malware-18x9.jpg 18w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-5001\" class=\"wp-caption-text\"><em>Kineska APT15 grupa i Graphican zlonamjerni softver; Dizajn: Sa\u0161a \u0110uri\u0107<\/em><\/p><\/div>\n<p><span style=\"font-size: 14pt;\">Kampanja je trajala od kraja 2022. godine do po\u010detka 2023. godine. Ova kampanja je prvenstveno bila fokusirana na ministarstva spoljnih poslova u Americi, iako je grupa tako\u0111e ciljala na vladino odjeljenje za finansije u jednoj zemlji u Americi i na korporaciju koja prodaje proizvode u Centralnoj i Ju\u017enoj Americi. Postojala je i jedna \u017ertva sa sjedi\u0161tem u jednoj evropskoj zemlji.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span style=\"font-size: 14pt;\"><strong><em>Graphican<\/em> zlonamjerni softver<\/strong><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>Graphican<\/em> <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/malware\/\">zlonamjerni softver<\/a> je evoluirao iz <em>Flea<\/em> <em>Ketrican<\/em> <em>backdoor<\/em>-a, koji je bio zasnovan na prethodnom zlonamjernom softveru \u2014 <em>BS2005<\/em>. Sli\u010dnosti u funkcionalnosti izme\u0111u <em>Graphican<\/em> i <em>Ketrican<\/em> zlonamjernih softvera ukazuju na to da grupa nije mnogo zabrinuta zbog toga \u0161to joj se pripisuje aktivnost.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Uzorci <em>Graphican<\/em> zlonamjernog softvera koji su analizirani, otkrivaju da on nije imao \u010dvrsto kodirani komandni i kontrolni server, ve\u0107 se povezivao na <em>OneDrive<\/em> preko <em>Microsoft<\/em> <em>Graph<\/em> <em>API<\/em> funkcionalnosti da bi dobio \u0161ifrovanu adresu komandnog i kontrolnog servera iz podre\u0111ene fascikle unutar fascikle <em>\u201c<\/em><em>Person\u201d,<\/em> a zatim je dekodirao ime fascikle i i to ime koristio ga kao komandni i kontrolni server za zlonamjerni softver.<\/span><\/p>\n<p>&nbsp;<\/p>\n<blockquote><p><span style=\"font-size: 14pt;\"><em>\u201cGraphican ima istu osnovnu funkcionalnost kao Ketrican, s tim \u0161to je razlika izme\u0111u njih \u0161to Graphican koristi Microsoft Graph API i OneDrive za dobijanje svoje infrastrukture za komandu i kontrolu (C&amp;C). Sve instance ove varijante koristile su iste parametre za autentifikaciju za Microsoft Graph API.\u201d<\/em><\/span><\/p>\n<p style=\"text-align: right;\"><span style=\"font-size: 14pt;\"><em>\u00a0<\/em><\/span><span style=\"font-size: 14pt;\"><em>&#8211; Symantec &#8211;<\/em><\/span><\/p>\n<\/blockquote>\n<p>&nbsp;<\/p>\n<p><span style=\"font-size: 14pt;\">Posebno je zna\u010dajno kori\u0161tenje <em>Microsoft<\/em> <em>Graph<\/em> <em>API<\/em> funkcionalnosti i <em>OneDrive<\/em> platforme za prikriveno dobijanje infrastrukturnih adresa za komandu i kontrolu (<em>C2<\/em>) u <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/20\/enkripcija-podataka-istorija-i-osnove-epizoda-1\/\" target=\"_blank\" rel=\"nofollow noopener\">\u0161ifriranom obliku<\/a>, daju\u0107i mu svestranost i otpornost na uklanjanje.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span style=\"font-size: 14pt;\"><strong>Funkcionisanje<\/strong><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\"><em>Graphican<\/em> mo\u017ee kreirati interaktivnu komandnu liniju kojom se mo\u017ee kontrolisati sa servera, preuzimati datoteke na mre\u017enom \u010dvoru i postavljati tajne procese za prikupljanje <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/16\/podaci-uvod-epizoda-1\/\" target=\"_blank\" rel=\"nofollow noopener\">podataka<\/a> od interesa.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Kada do\u0111e do infekcije ure\u0111aja <em>Graphican<\/em> po\u010dinje funkcionisati na sljede\u0107i na\u010din:<\/span><\/p>\n<p>&nbsp;<\/p>\n<ul>\n<li><span style=\"font-size: 14pt;\">Onemogu\u0107ava \u010darobnjak za prvo pokretanje <em>Internet<\/em> <em>Ekplorer<\/em> <em>10<\/em> i stranicu dobrodo\u0161lice pomo\u0107u klju\u010deva u bazi registra.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Provjerava da li je proces \u201c<em>iexplore.exe<\/em>\u201d aktivan.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Konstrui\u0161e globalni <em>IWebBrowser2<\/em> <em>COM<\/em> objekat za pristup Internetu.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Povezuje se sa <em>Microsoft<\/em> <em>Graph<\/em> <em>API<\/em> kako bi dobio va\u017ee\u0107i token za pristup i radi osvje\u017eavanje tokena.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Evidentira podre\u0111ene datoteke i fascikle u fascikli <em>OneDrive<\/em> \u201c<em>Person\u201d<\/em> koriste\u0107i <em>Graph<\/em> <em>API<\/em>.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">De\u0161ifruje ime prve fascikle kako bi se koristilo kao komandni i kontrolni server.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Generi\u0161e jedinstveni <em>Bot<\/em> <em>ID<\/em> koriste\u0107i ime ure\u0111aja, lokalnu <em>IP<\/em> adresu, <em>Windows<\/em> verziju, podrazumijevani identifikator jezika i bitnu arhitekturu procesa (<em>32\/64-bit<\/em>).<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Registruje bota na komandni i kontrolni server koriste\u0107i odre\u0111eno formatirani znakovni niz popunjen prikupljenim ra\u010dunarskim podacima \u017ertve.<\/span><\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<h4><span style=\"font-size: 14pt;\"><strong><em>APT15<\/em> grupa \u2013 <em>Flea<\/em><\/strong><\/span><\/h4>\n<p><span style=\"font-size: 14pt;\"><em>Flea<\/em> (APT15) je grupa koja je aktivna najmanje 2004. godine. Od tada, pa sve do danas, njene taktike, tehnike i procedure, kao i njene mete su se mijenjale i razvijale. Posljednjih godina grupa se prvenstveno fokusirala na napade na vladine organizacije, diplomatske subjekte i nevladine organizacije (NVO) u svrhu prikupljanja obavje\u0161tajnih podataka.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">\u010cini se da su Sjeverna i Ju\u017ena Amerika u posljednje vreme postale vi\u0161e fokus grupe, \u0161to je u skladu sa ciljanjem primije\u0107enim u ovoj kampanji sa ciljem grupe da stekne trajni pristup mre\u017eama \u017ertava od interesa u svrhu prikupljanja obavje\u0161tajnih podataka. <em>Flea<\/em> je tradicionalno koristila elektronsku po\u0161tu kao po\u010detni vektor zaraze, ali su tako\u0111e postojali izvje\u0161taji o kori\u0161tenju javnih aplikacija, kao i <a href=\"https:\/\/sajberinfo.com\/en\/2021\/10\/17\/vpn-sigurno-mrezno-povezivanje\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>VPN<\/em> servisa<\/a>, za dobijanje po\u010detnog pristupa \u017ertvama napada.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>Flea<\/em> je u januaru kompromitovala mre\u017ee \u010detiri iranske vladine organizacije, uklju\u010duju\u0107i iransko Ministarstvo spoljnih poslova, koriste\u0107i novu verziju <em>Turian<\/em> zlonamjernog softvera. <em>Flea<\/em> je 2012. godine ciljala sirijsko ministarstvo spoljnih poslova, a 2013. i Dr\u017eavni sekretarijat SAD.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>Microsoft<\/em> je zapjenio domene 42 domene koji pripadaju <em>Flea<\/em> grupi u decembru 2021. godine za koje je su utvrdili da su kori\u0161\u0107ene u operacijama koje su ciljale organizacije u SAD i 28 drugih zemalja u svrhe prikupljanja obavje\u0161tajnih podataka. <em>Flea<\/em> je tako\u0111e u izvje\u0161taju\u00a0 kompanije <em>Lookout<\/em> iz novembra 2022. godine povezan sa dugotrajnom kampanjom koja cilja Internet stranice i dru\u0161tvene medije na ujgurskom jeziku u Kini.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Vjeruje se da je <em>Flea<\/em> velika grupa sa dobrim resursima i \u010dini se da otkrivanje njene aktivnosti, pa \u010dak ni uklanjanja nekih njenih resursa, kao \u0161to je kompanija <em>Microsoft<\/em> uradila, nisu uspeli da imaju zna\u010dajan uticaj kada je u pitanju zaustavljanje aktivnosti grupe.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h5><span style=\"font-size: 14pt;\"><strong>Za\u0161tita<\/strong><\/span><\/h5>\n<p><span style=\"font-size: 14pt;\">Ovakvu vrstu napada nije lako uo\u010diti, ali postoji nekoliko koraka koje se mogu preduzeti da se korisnici osiguraju:<\/span><\/p>\n<p>&nbsp;<\/p>\n<ul>\n<li><span style=\"font-size: 14pt;\">Koristiti provjereno <a href=\"https:\/\/sajberinfo.com\/en\/2021\/08\/17\/antivirusni-softver\/\" target=\"_blank\" rel=\"nofollow noopener\">antivirusno rje\u0161enje<\/a> i voditi ra\u010duna da je uvijek a\u017eurirano.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Korisnici treba da budu oprezni kada rukuju prilozima elektronske po\u0161te, posje\u0107uju. sumnjive Internet lokacije ili preuzimaju datoteke iz nepouzdanih izvora.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Koristiti mre\u017enu barijeru (eng. <em>firewall<\/em>).<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Aplikacije i operativni sistem na ure\u0111aju, kao i upravlja\u010dki softver ure\u0111aja bi uvijek trebalo da su a\u017eurirani.<\/span><\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<p><span style=\"font-size: 14pt;\">Osim toga, koristiti pozitivne prakse <a href=\"https:\/\/sajberinfo.com\/en\/2018\/12\/23\/sajber-bezbjednost\/\" target=\"_blank\" rel=\"nofollow noopener\">sajber bezbjednosti<\/a> i zdrav razum prilikom upotrebe Interneta. Koristite samo <em>HTTPS<\/em> Internet lokacije kad god je to moguc\u0301e, izbjegavati piratske Internet stranice ne odavati svoje li\u010dne podatke.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h5><span style=\"font-size: 14pt;\"><strong>Zaklju\u010dak<\/strong><\/span><\/h5>\n<p><span style=\"font-size: 14pt;\"><em>Flea <\/em>grupa (<em>APT15<\/em>) nastavlja da razvija nove alate, \u0161to pokazuje upotreba <em>Graphican<\/em> zlonamjernog softvera. Grupa ima istoriju kreiranja prilago\u0111enih alata, a sli\u010dnosti izme\u0111u <em>Graphican<\/em> i <em>Ketrican<\/em> <em>backdoor<\/em>-a ukazuju da grupa nije mnogo zabrinuta zbog toga \u0161to joj se pripisuje aktivnost. Mete ove grupe, ministarstva inostranih poslova, uskla\u0111ene su sa njenim prethodnim aktivnostima, ukazuju\u0107i na dosljedne interese uz razvoj alata i tehnika napada.<\/span><\/p>","protected":false},"excerpt":{"rendered":"<p>Sigurnosni istra\u017eiva\u010di Symantec Threat Hunter Team su otkrili naprednu trajnu prijetnju \u2013 APT iza koje stoji grupa pod nazivom Flea, poznata jo\u0161 kao APT15 i Nickel, porijeklom iz Kine. Kampanja je trajala od kraja&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":5001,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[62,452,142,453,454,93,455,64,76],"class_list":["post-5000","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-apt","tag-apt15","tag-backdoor","tag-flea","tag-graphican","tag-malware","tag-onedrive","tag-sajber-prijetnja","tag-zlonamjerni-softver"],"_links":{"self":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/5000","targetHints":{"allow":["GET"]}}],"collection":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=5000"}],"version-history":[{"count":0,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/5000\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/5001"}],"wp:attachment":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=5000"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=5000"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=5000"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}