Κινέζοι χάκερ APT15 επανεμφανίζονται με νέο κακόβουλο λογισμικό Graphican

Η κινεζική κρατική ομάδα

hacking

που παρακολουθείται ως APT15 έχει παρατηρηθεί χρησιμοποιώντας μια νέα κερκόπορτα με το όνομα «Graphican» σε μια νέα καμπάνια μεταξύ τέλους 2022 και αρχών 2023.

Το APT15, γνωστό και ως Nickel, Flea, Ke3Chang και Vixen Panda, είναι κινεζικοί κρατικοί χάκερ που στοχεύουν σημαντικούς δημόσιους και ιδιωτικούς οργανισμούς παγκοσμίως από τουλάχιστον το 2004.

Η ομάδα έχει χρησιμοποιήσει διάφορα εμφυτεύματα κακόβουλου λογισμικού και προσαρμοσμένες κερκόπορτες όλα αυτά τα χρόνια, συμπεριλαμβανομένων των RoyalCLI και RoyalDNS, Okrum, Ketrum και λογισμικού κατασκοπείας

Android

με το όνομα SilkBean και Moonshine.

Σήμερα, η ομάδα Threat Hunter της Symantec, μέρος της Broadcom, αναφέρει ότι η τελευταία εκστρατεία του APT15 στοχεύει υπουργεία Εξωτερικών σε χώρες της Κεντρικής και Νότιας Αμερικής.

Νέα κερκόπορτα Graphican

Οι ερευνητές αναφέρουν ότι η νέα κερκόπορτα του Graphican είναι μια εξέλιξη ενός παλαιότερου κακόβουλου λογισμικού που χρησιμοποιείται από τους χάκερ και όχι ένα εργαλείο που δημιουργήθηκε από την αρχή.

Είναι αξιοσημείωτο το γεγονός ότι χρησιμοποιεί το

Microsoft

Graph API και το OneDrive για να αποκτά κρυφά τις διευθύνσεις της υποδομής εντολών και ελέγχου (C2) σε κρυπτογραφημένη μορφή, παρέχοντάς του ευελιξία και αντίσταση κατά της κατάρριψης.

Η λειτουργία του Graphican στη μολυσμένη συσκευή περιλαμβάνει τα ακόλουθα:

• Απενεργοποιεί τον οδηγό πρώτης εκτέλεσης του
  
  Internet
  
  Explorer 10 και τη σελίδα καλωσορίσματος χρησιμοποιώντας κλειδιά μητρώου.
• Επαληθεύει εάν η διαδικασία ‘iexplore.exe’ είναι ενεργή.
• Κατασκευάζει ένα καθολικό αντικείμενο COM IWebBrowser2 για πρόσβαση στο Διαδίκτυο.
• Πραγματοποιείται έλεγχος ταυτότητας με το Microsoft Graph API για έγκυρο διακριτικό πρόσβασης και refresh_token.
• Απαριθμεί θυγατρικά αρχεία και φακέλους στο φάκελο “Person” OneDrive χρησιμοποιώντας το Graph API.
• Δημιουργεί ένα μοναδικό αναγνωριστικό Bot χρησιμοποιώντας το όνομα κεντρικού υπολογιστή, την τοπική IP, την έκδοση των
  
  Windows
  
  , το προεπιλεγμένο αναγνωριστικό γλώσσας και το bit διαδικασίας (32/64-bit).
• Καταχωρεί το bot στον διακομιστή C&C χρησιμοποιώντας μια συμβολοσειρά συγκεκριμένης μορφής γεμάτη με δεδομένα υπολογιστή του θύματος που συλλέγονται.
• Ελέγχει τακτικά τον διακομιστή C&C για νέες εντολές προς εκτέλεση.

Κατά τη σύνδεση στον διακομιστή εντολών και ελέγχου, οι φορείς απειλής μπορούν να στείλουν διάφορες εντολές για εκτέλεση σε μολυσμένες συσκευές, συμπεριλαμβανομένης της εκκίνησης προγραμμάτων και της λήψης νέων αρχείων.

Η πλήρης λίστα των εντολών που μπορεί να στείλει το C2 για εκτέλεση από το Graphican είναι:

• 
  ‘ΝΤΟ’
  
  — Δημιουργήστε μια διαδραστική γραμμή εντολών που ελέγχεται από τον διακομιστή C&C
• 
  “Εσυ”
  
  — Δημιουργήστε ένα αρχείο στον απομακρυσμένο υπολογιστή
• 
  ‘ΡΕ’
  
  — Κάντε λήψη ενός αρχείου από τον απομακρυσμένο υπολογιστή στον διακομιστή C&C
• 
  ‘Ν’
  
  — Δημιουργήστε μια νέα διαδικασία με ένα κρυφό παράθυρο
• 
  ‘Π’
  
  — Δημιουργήστε μια νέα διαδικασία PowerShell με ένα κρυφό παράθυρο και αποθηκεύετε τα αποτελέσματα σε ένα προσωρινό αρχείο στο φάκελο TEMP και στέλνετε τα αποτελέσματα στον διακομιστή C&C

Άλλα εργαλεία που παρατήρησαν οι ερευνητές της Symantec στην τελευταία καμπάνια του APT15 είναι:

• 
  EWSTEW
  
  – Προσαρμοσμένη κερκόπορτα APT15 εξαγωγή email από μολυσμένους διακομιστές Microsoft Exchange.
• 
  Mimikatz, Pypykatz, Safetykatz
  
  – Διαθέσιμα στο κοινό εργαλεία απόρριψης διαπιστευτηρίων που εκμεταλλεύονται την απλή σύνδεση των Windows για την εξαγωγή μυστικών από τη μνήμη.
• 
  Lazagne
  
  – Ένα εργαλείο ανοιχτού κώδικα ικανό να ανακτά κωδικούς πρόσβασης από πολλές εφαρμογές.
• 
  Κουάρκς PwDump
  
  – Καταργεί διαφορετικούς τύπους διαπιστευτηρίων Windows. Τεκμηριωμένο από το 2013.
• 
  SharpSecDump
  
  – Μια θύρα .Net του Secretsdump.py του Impacket, που χρησιμοποιείται για την απόρριψη απομακρυσμένων μυστικών SAM και LSA.
• 
  K8Tools
  
  – Ένα σύνολο εργαλείων που περιλαμβάνει κλιμάκωση προνομίων, διάρρηξη κωδικού πρόσβασης, σάρωση, χρήση ευπάθειας και διάφορες εκμεταλλεύσεις συστήματος.
• 
  EHole
  
  – Αναγνώριση ευάλωτων συστημάτων.
• Κοχύλια Ιστού –
  
  AntSword, Behinder, China Chopper, Godzilla
  
  παρέχοντας στους χάκερ πρόσβαση κερκόπορτα στα παραβιασμένα συστήματα.
• 
  CVE-2020-1472 εκμετάλλευση
  
  – Αύξηση της ευπάθειας των προνομίων που επηρεάζει το Netlogon Remote Protocol.

Συμπερασματικά, η πρόσφατη δραστηριότητα του APT15 και η ανανέωση του προσαρμοσμένου backdoor του δείχνει ότι η κινεζική ομάδα hacking παραμένει απειλή για οργανισμούς σε όλο τον κόσμο, βελτιώνοντας τα εργαλεία της και εργάζεται για να κάνει τις δραστηριότητές της πιο κρυφές.

Η συγκεκριμένη ομάδα απειλών χρησιμοποιεί μηνύματα ηλεκτρονικού ψαρέματος ως αρχικό φορέα μόλυνσης. Ωστόσο, είναι επίσης γνωστά για την εκμετάλλευση ευάλωτων τερματικών σημείων που εκτίθενται στο Διαδίκτυο και τη χρήση των VPN ως αρχικού φορέα πρόσβασης.