Chiến dịch tấn công APT: Nhóm tấn công APT15 trở lại với mã độc Graphican

- Gần đây, một nhóm tấn công có tên là APT15 đã sử dụng backdoor Graphican trong chiến dịch tấn công diễn ra từ khoảng cuối năm 2022 cho tới đầu năm 2023.

Nhóm APT15 còn có các tên gọi khác như Nickel, Flea, Ke3Chang và Vixen Panda đã hoạt động kể từ năm 2004 và thường nhằm mục tiêu vào các tổ chức công và tư có tiếng trên thế giới.

Nhóm này đã sử dụng nhiều loại mã độc và các backdoor tự chế trong thời gian hoạt động bao gồm: RoyalCLI và Royal DNS, Okrum, Ketrum, cùng với các phần mềm gián điệp (spyware) trên hệ điều hành Android như SilkBean và Moonshine.

Hiện nay, các chuyên gia bảo mật cảnh báo rằng chiến dịch mới nhất của APT15 đang nhằm vào các cơ quan Bộ Ngoại giao đặt tại Trung Mỹ và Nam Mỹ.

Backdoor Graphican

Theo báo cáo, Graphican là một phiên bản nâng cấp của một mã độc đã từng được sử dụng bởi nhóm APT15 chứ không phải là một công cụ hoàn toàn mới.

Điểm đáng chú ý của mã độc này là việc sử dụng Microsoft Graph API và OneDrive để mã hóa địa chỉ của hạ tầng điều khiển C&C, khiến cho mã độc trở nên linh hoạt và có khả năng chống cự trước các cuộc tấn công.

Hoạt động của Graphican trên một thiết bị nhiễm mã độc được mô tả như sau:

• Vô hiệu hóa "wizard chạy lần đầu" (first-run wizard) và trang chào mừng của Internet Explorer 10 bằng cách sử dụng khóa registry.

• Xác minh xem tiến trình 'iexplore.exe' có đang hoạt động hay không.

• Xây dựng một đối tượng COM global - IwebBrowser2 để truy cập internet.

• Xác thực với Microsoft Graph API để lấy mã thông báo truy cập hợp lệ (access token) và mã làm mới (refresh_token).

• Liệt kê các tệp và thư mục con trong thư mục "Person" trên OneDrive bằng cách sử dụng Graph

API.

• Giải mã tên thư mục đầu tiên để sử dụng nó làm máy chủ điều khiển (C&C server).

• Tạo một Bot ID duy nhất bằng cách sử dụng tên máy chủ, địa chỉ IP cục bộ, phiên bản Windows, định danh ngôn ngữ mặc định và kiểu bit của tiến trình (32/64-bit).

• Thêm bot vào máy chủ điều khiển bằng cách sử dụng chuỗi định dạng cụ thể được tạo bởi dữ liệu đã thu thập được trên máy của nạn nhân.

• Thường xuyên kiểm tra máy chủ điều khiển để tìm các câu lệnh mới cần thực thi.