O fornecedor de antimalware Symantec está alertando que um grupo de hackers vinculado à China sinalizado como APT15 tem como alvo os ministérios de relações exteriores nas Américas com um novo backdoor chamado Graphican.
Como parte de uma campanha de ataque do final de 2022 ao início de 2023, o agente da ameaça usou a nova porta dos fundos do Graphican ao lado de várias ferramentas de vida fora da terra.
A Symantec observou que o Graphican tem a mesma funcionalidade do Ketrican, um backdoor que o APT15 usou em ataques anteriores, mas usa a API do Microsoft Graph para se conectar ao OneDrive e recuperar informações de comando e controle (C&C). Com base nos comandos recebidos do servidor C&C, o Graphican pode criar uma linha de comando interativa, criar arquivos, baixar arquivos e criar processos com janelas ocultas.
Durante a campanha, a empresa pegou o APT15 usando variantes do Ketrican que tinham um servidor C&C codificado com apenas alguns desses comandos implementados. Outras ferramentas que o grupo usou nesses ataques incluem o backdoor Ewstew, web shells e ferramentas publicamente disponíveis, como Mimikatz, Pypykatz, Safetykatz, Lazagne, Quarks PwDump, SharpSecDump, K8Tools e EHole.
Essas ferramentas permitem que os invasores roubem mensagens de e-mail, descartem credenciais do Windows e extraiam credenciais de vários aplicativos, escalonem privilégios, verifiquem máquinas vulneráveis e explorem falhas conhecidas.
Durante a campanha, o APT15 foi observado explorando o CVE-2020-1472, uma vulnerabilidade crítica no Microsoft Windows Netlogon Remote Protocol (MS-NRPC) que foi corrigida em agosto de 2020.
Também conhecido como Zerologon, o bug permite que invasores não autenticados executem um aplicativo especialmente criado em um dispositivo na rede.
Provavelmente patrocinado pelo governo chinês, o APT15 também é rastreado como Flea, KE3CHANG, Nickel, Playful Dragon, Royal APT e Vixen Panda. De acordo com a Symantec, o grupo está ativo desde pelo menos 2004 e acredita-se que seja grande e tenha bons recursos.
O agente da ameaça tem como alvo específico governos, missões diplomáticas, organizações de direitos humanos, embaixadas e institutos de pesquisa na América Central e do Sul, Caribe, Europa e América do Norte.
“O objetivo do grupo parece ser obter acesso persistente às redes de vítimas de interesse para fins de coleta de informações. Seus alvos nesta campanha, os ministérios de relações exteriores, também apontam para um provável motivo geopolítico por trás da campanha”, acrescentou a Symantec.