Descoberta campanha APT que visa ministérios de negócios estrangeiros

Especialistas da Symantec descobriram um grupo de cibercriminosos ligado à China, denominado APT15, que conduziu uma campanha de ataque entre o final de 2022 e o início de 2023 a ministérios de negócios estrangeiros. Segundo os peritos, os atacantes utilizam uma nova backdoor chamada Graphican, que tem a mesma funcionalidade que a Ketrican, uma outra backdoor que o APT15 utilizou. Neste caso em concreto, a Graphican usa o API do Microsoft Graph para conectar ao OneDrive e recuperar informações de command-and-control (C&C). 

“O objetivo do grupo parece ser obter acesso persistente às redes de vítimas de interesse para fins de recolha de inteligência. Os seus alvos nesta campanha, de ministérios dos negócios estrangeiros, também apontam para um provável motivo geopolítico por detrás da campanha”, acrescentaram os especialistas da Symantec.

A Graphican pode criar uma linha de comando interativa, criar e baixar arquivos e pode criar processos com janelas ocultas. Os especialistas observaram o APT15 a utilizar variantes do Ketrican que tinham um C&C codificado com apenas alguns desses comandos implementados. 

Outras ferramentas utilizadas incluem o backdoor Ewstew, web shells e ferramentas disponíveis publicamente como Mimikatz, Pypykatz, Safetykatz, Lazagne, Quarks PwDump, SharpSecDump, K8Tools e EHole. Durante a campanha, o APT15 explorou a CVE-2020-1472, uma vulnerabilidade crítica no Microsoft Windows Netlogon Remote Protocol que foi corrigida em agosto de 2020.

É de notar que o APT15 também é conhecido como Flea, KE3CHANG, Nickel, Playful Dragon, Royal APT e Vixen Panda, e, de acordo com a Symantec, está ativo desde pelo menos 2004. Os cibercriminosos visam especificamente governos, missões diplomáticas, organizações de direitos humanos, embaixadas e think-tanks na América Central, do Sul e do Norte e na Europa.