Um grupo de ameaça persistente avançada (APT) chamado Flea realizou ataques contra ministérios de relações exteriores nas Américas do Norte e do Sul usando uma nova backdoor chamada Graphican, de acordo com um relatório da Symantec Threat Hunter Team.
A campanha durou do final de 2022 até o início deste ano. Também teve como alvo um departamento de finanças de governo em um país das Américas e uma corporação que vende produtos na América Central e do Sul. Houve também uma vítima baseada em um país europeu, de acordo com o relatório.
Acredita-se que o Flea, também conhecido como APT15 e Nickel, seja um grupo patrocinado pela China e tenha histórico de atacar governos, missões diplomáticas e embaixadas, provavelmente para fins de coleta de informações, disse a Symantec.
O Graphican evoluiu da backdoor Ketrican do Flea, que era baseado em um malware anterior, o BS2005. As semelhanças na funcionalidade entre Graphican e Ketrican indicam que o grupo não está muito preocupado em ter atividades atribuídas a ele, disse a empresa de segurança cibernética. “O Graphican tem a mesma funcionalidade básica do Ketrican, com a diferença entre eles sendo o uso do Graphican da API do Microsoft Graph e do OneDrive para obter sua infraestrutura de comando e controle (C&C).”
As amostras do Graphican analisadas pela equipe de pesquisadores da Symantec revelaram que a backdoor não tinha um servidor de comando e controle codificado, mas que se conectava ao OneDrive por meio da API do Microsoft Graph para obter o endereço do servidor C&C criptografado de uma pasta dentro da pasta Person. A backdoor então decodificou o nome da pasta e o usou como um servidor C&C para o malware. “Todas as instâncias dessa variante usaram os mesmos parâmetros para autenticação na API do Microsoft Graph”, disse a Symantec, acrescentando que eles assumem que todos têm o mesmo C&C, que pode ser alterado dinamicamente pelos operadores de ameaça.
O Graphican pode criar uma linha de comando interativa que pode ser controlada a partir do servidor, baixar arquivos para o host e configurar processos secretos para coletar dados de interesse. Essa técnica foi usada anteriormente pelo grupo APT patrocinado pelo estado russo Swallowtail em uma campanha em 2022 para entregar o malware Graphite.
“Uma vez que uma técnica é usada por um operador de ameaça, muitas vezes vemos outros grupos seguindo o exemplo, então será interessante ver se esta técnica é algo que será adotada mais amplamente por outros grupos APT e cibercriminosos”, observa a Symantec.
Veja isso
Luxottica confirma violação após dados de 70 milhões vazarem
Ataque ao Barracuda é atribuído a grupo chinês de ciberespionagem
O Flea está em operação desde ao menos 2004. Inicialmente, ele usou o e-mail como o vetor de infecção inicial, mas também há relatos de que ele explorou aplicativos voltados para o público, bem como o uso de VPNs, para obter acesso inicial às redes das vítimas. “O objetivo do grupo parece ser obter acesso persistente às redes das vítimas de interesse para fins de coleta de informações”, disse o relatório.
Em janeiro, o Flea comprometeu as redes de quatro organizações governamentais iranianas, incluindo o Ministério das Relações Exteriores do Irã, usando uma nova versão do malware Turian. Em 2012, Flea atacou o Ministério das Relações Exteriores da Síria e o Departamento de Estado dos EUA em 2013.Em dezembro de 2021, a Microsoft apreendeu 42 domínios nos Estados Unidos usados pelo grupo para seus ataques direcionados a 29 países. “O uso de uma nova backdoor pelo Flea mostra que este grupo, apesar de seus longos anos de operação, continua desenvolvendo ativamente novas ferramentas”, disse a Symantec no relatório.