Amerika’daki dışişleri bakanlıkları, Çin devlet destekli bir aktör tarafından hedef alındı. Pire 2022’nin sonlarından 2023’ün başlarına kadar uzanan yakın tarihli bir kampanyanın parçası olarak.
Broadcom’dan Symantec’e göre siber saldırılar, Graphican kod adlı yeni bir arka kapı içeriyordu. Diğer hedeflerden bazıları arasında bir devlet finans departmanı ve Amerika’da ürün pazarlayan bir şirket ile bir Avrupa ülkesinde kimliği belirsiz bir kurban yer alıyordu.
The Hacker News ile paylaşılan bir raporda şirket, tehdit aktörünü “büyük ve iyi kaynaklara sahip” olarak tanımlayarak “Flea bu kampanyada çok sayıda araç kullandı” dedi. “Saldırganlar, yeni Graphican arka kapısının yanı sıra, daha önce Flea ile bağlantılı olan araçların yanı sıra çeşitli karada yaşayan araçlardan da yararlandı.”
APT15, BackdoorDiplomacy, ke3chang, Nylon Typhoon (eski adıyla Nickel), Playful Taurus, Royal APT ve Vixen Panda olarak da adlandırılan Flea, en az 2004’ten beri hükümetleri, diplomatik misyonları ve büyükelçilikleri vurduğu bilinen gelişmiş bir kalıcı tehdit grubudur.
Bu Ocak ayının başlarında grup, Temmuz ve Aralık 2022 arasında İran hükümet kurumlarını hedef alan bir dizi saldırının arkasında yer aldı.
Ardından geçen ay, Kenya hükümetinin ülkedeki önemli bakanlıklar ve devlet kurumlarını hedef alan üç yıllık geniş kapsamlı bir istihbarat toplama operasyonunda seçildiği ortaya çıktı.
Ulus devlet ekibi, Lookout tarafından sırasıyla Temmuz 2020 ve Kasım 2022’de detaylandırıldığı üzere, Çin Halk Cumhuriyeti’ndeki ve yurtdışındaki Uygurları hedef alan SilkBean ve BadBazaar adlı çok sayıda Android gözetleme kampanyasına da karıştı.
Graphican’ın, özellikleri o zamandan beri Ketrum adlı yeni bir kötü amaçlı yazılımın ortaya çıkması için Okrum olarak bilinen başka bir implantla birleştirilen Ketrican adlı bilinen bir Pire arka kapısının evrimi olduğu söyleniyor.
Arka kapı, aynı işlevselliğe sahip olmasına rağmen, komut ve kontrol (C&C) sunucusunun ayrıntılarını elde etmek için Microsoft Graph API ve OneDrive’ı kullanması nedeniyle Ketrican’dan ayrılıyor.
Symantec, “Gözlemlenen Graphican örneklerinin sabit kodlanmış bir C&C sunucusu yoktu, bunun yerine “Kişi” klasörü içindeki bir alt klasörden şifrelenmiş C&C sunucu adresini almak için Microsoft Graph API aracılığıyla OneDrive’a bağlandılar,” dedi.
🔐 API Güvenliğinde Uzmanlaşma: Gerçek Saldırı Yüzeyinizi Anlamak
API ekosisteminizdeki kullanılmayan güvenlik açıklarını keşfedin ve güçlü güvenlik için proaktif adımlar atın. Bilgilendirici web seminerimize katılın!
Oturuma Katılın
“Kötü amaçlı yazılım daha sonra klasör adının kodunu çözdü ve onu kötü amaçlı yazılım için bir C&C sunucusu olarak kullandı.”
APT28 (Sofacy veya Swallowtail) ve Bad Magic (Red Stinger olarak da bilinir) gibi hem Rus hem de Çinli tehdit aktörlerinde daha önce Microsoft Graph API ve OneDrive’ın kötüye kullanıldığının gözlemlendiğini belirtmekte fayda var.
Graphican, sunucudan kontrol edilebilen etkileşimli bir komut satırı oluşturmak, dosyaları ana bilgisayara indirmek ve ilgili verileri toplamak için gizli işlemler kurmak dahil olmak üzere çalıştırılacak yeni komutlar için C&C sunucusunu yoklayacak donanıma sahiptir.
Etkinlikte kullanılan diğer dikkate değer araçlardan biri, ihlal edilmiş Microsoft Exchange sunucularında gönderilen ve alınan e-postaları ayıklamak için EWSTEW arka kapısının güncellenmiş bir sürümünü içeriyor.
Symantec, “Flea tarafından yeni bir arka kapı kullanılması, bu grubun uzun yıllara dayanan çalışmasına rağmen aktif olarak yeni araçlar geliştirmeye devam ettiğini gösteriyor” dedi. “Grup, yıllar boyunca çok sayıda özel araç geliştirdi.”
“Grafikan ile bilinen Ketrican arka kapısı arasındaki işlevsellik benzerlikleri, grubun kendisine atfedilen faaliyetlerle pek ilgilenmediğini gösterebilir.”