Kineska APT15 grupa i Graphican zlonamjerni softver

Sigurnosni istraživači Symantec Threat Hunter Team su otkrili naprednu trajnu prijetnju – APT iza koje stoji grupa pod nazivom Flea, poznata još kao APT15 i Nickel, porijeklom iz Kine.

Kineska APT15 grupa i Graphican zlonamjerni softver; Dizajn: Saša Đurić

Kampanja je trajala od kraja 2022. godine do početka 2023. godine. Ova kampanja je prvenstveno bila fokusirana na ministarstva spoljnih poslova u Americi, iako je grupa takođe ciljala na vladino odjeljenje za finansije u jednoj zemlji u Americi i na korporaciju koja prodaje proizvode u Centralnoj i Južnoj Americi. Postojala je i jedna žrtva sa sjedištem u jednoj evropskoj zemlji.

Graphican zlonamjerni softver

Graphican zlonamjerni softver je evoluirao iz Flea Ketrican backdoor-a, koji je bio zasnovan na prethodnom zlonamjernom softveru — BS2005. Sličnosti u funkcionalnosti između Graphican i Ketrican zlonamjernih softvera ukazuju na to da grupa nije mnogo zabrinuta zbog toga što joj se pripisuje aktivnost.

Uzorci Graphican zlonamjernog softvera koji su analizirani, otkrivaju da on nije imao čvrsto kodirani komandni i kontrolni server, već se povezivao na OneDrive preko Microsoft Graph API funkcionalnosti da bi dobio šifrovanu adresu komandnog i kontrolnog servera iz podređene fascikle unutar fascikle “Person”, a zatim je dekodirao ime fascikle i i to ime koristio ga kao komandni i kontrolni server za zlonamjerni softver.

“Graphican ima istu osnovnu funkcionalnost kao Ketrican, s tim što je razlika između njih što Graphican koristi Microsoft Graph API i OneDrive za dobijanje svoje infrastrukture za komandu i kontrolu (C&C). Sve instance ove varijante koristile su iste parametre za autentifikaciju za Microsoft Graph API.”

 – Symantec –

Posebno je značajno korištenje Microsoft Graph API funkcionalnosti i OneDrive platforme za prikriveno dobijanje infrastrukturnih adresa za komandu i kontrolu (C2) u šifriranom obliku, dajući mu svestranost i otpornost na uklanjanje.

Funkcionisanje

Graphican može kreirati interaktivnu komandnu liniju kojom se može kontrolisati sa servera, preuzimati datoteke na mrežnom čvoru i postavljati tajne procese za prikupljanje podataka od interesa.

Kada dođe do infekcije uređaja Graphican počinje funkcionisati na sljedeći način:

• Onemogućava čarobnjak za prvo pokretanje Internet Ekplorer 10 i stranicu dobrodošlice pomoću ključeva u bazi registra.
• Provjerava da li je proces “iexplore.exe” aktivan.
• Konstruiše globalni IWebBrowser2 COM objekat za pristup Internetu.
• Povezuje se sa Microsoft Graph API kako bi dobio važeći token za pristup i radi osvježavanje tokena.
• Evidentira podređene datoteke i fascikle u fascikli OneDrive “Person” koristeći Graph API.
• Dešifruje ime prve fascikle kako bi se koristilo kao komandni i kontrolni server.
• Generiše jedinstveni Bot ID koristeći ime uređaja, lokalnu IP adresu, Windows verziju, podrazumijevani identifikator jezika i bitnu arhitekturu procesa (32/64-bit).
• Registruje bota na komandni i kontrolni server koristeći određeno formatirani znakovni niz popunjen prikupljenim računarskim podacima žrtve.

APT15 grupa – Flea

Flea (APT15) je grupa koja je aktivna najmanje 2004. godine. Od tada, pa sve do danas, njene taktike, tehnike i procedure, kao i njene mete su se mijenjale i razvijale. Posljednjih godina grupa se prvenstveno fokusirala na napade na vladine organizacije, diplomatske subjekte i nevladine organizacije (NVO) u svrhu prikupljanja obavještajnih podataka.

Čini se da su Sjeverna i Južna Amerika u posljednje vreme postale više fokus grupe, što je u skladu sa ciljanjem primijećenim u ovoj kampanji sa ciljem grupe da stekne trajni pristup mrežama žrtava od interesa u svrhu prikupljanja obavještajnih podataka. Flea je tradicionalno koristila elektronsku poštu kao početni vektor zaraze, ali su takođe postojali izvještaji o korištenju javnih aplikacija, kao i VPN servisa, za dobijanje početnog pristupa žrtvama napada.

Flea je u januaru kompromitovala mreže četiri iranske vladine organizacije, uključujući iransko Ministarstvo spoljnih poslova, koristeći novu verziju Turian zlonamjernog softvera. Flea je 2012. godine ciljala sirijsko ministarstvo spoljnih poslova, a 2013. i Državni sekretarijat SAD.

Microsoft je zapjenio domene 42 domene koji pripadaju Flea grupi u decembru 2021. godine za koje je su utvrdili da su korišćene u operacijama koje su ciljale organizacije u SAD i 28 drugih zemalja u svrhe prikupljanja obavještajnih podataka. Flea je takođe u izvještaju  kompanije Lookout iz novembra 2022. godine povezan sa dugotrajnom kampanjom koja cilja Internet stranice i društvene medije na ujgurskom jeziku u Kini.

Vjeruje se da je Flea velika grupa sa dobrim resursima i čini se da otkrivanje njene aktivnosti, pa čak ni uklanjanja nekih njenih resursa, kao što je kompanija Microsoft uradila, nisu uspeli da imaju značajan uticaj kada je u pitanju zaustavljanje aktivnosti grupe.

Zaštita

Ovakvu vrstu napada nije lako uočiti, ali postoji nekoliko koraka koje se mogu preduzeti da se korisnici osiguraju:

• Koristiti provjereno antivirusno rješenje i voditi računa da je uvijek ažurirano.
• Korisnici treba da budu oprezni kada rukuju prilozima elektronske pošte, posjećuju. sumnjive Internet lokacije ili preuzimaju datoteke iz nepouzdanih izvora.
• Koristiti mrežnu barijeru (eng. firewall).
• Aplikacije i operativni sistem na uređaju, kao i upravljački softver uređaja bi uvijek trebalo da su ažurirani.

Osim toga, koristiti pozitivne prakse sajber bezbjednosti i zdrav razum prilikom upotrebe Interneta. Koristite samo HTTPS Internet lokacije kad god je to moguće, izbjegavati piratske Internet stranice ne odavati svoje lične podatke.

Zaključak

Flea grupa (APT15) nastavlja da razvija nove alate, što pokazuje upotreba Graphican zlonamjernog softvera. Grupa ima istoriju kreiranja prilagođenih alata, a sličnosti između Graphican i Ketrican backdoor-a ukazuju da grupa nije mnogo zabrinuta zbog toga što joj se pripisuje aktivnost. Mete ove grupe, ministarstva inostranih poslova, usklađene su sa njenim prethodnim aktivnostima, ukazujući na dosljedne interese uz razvoj alata i tehnika napada.