Исследование Symantec выявило, что APT Nylon Typhoon (NICKOL) использовала новый бэкдор под названием Backdoor.Graphican в недавней атакующей кампании, которая проходила с конца 2022 по начало 2023 года. Graphican злоупотребляет Microsoft Graph API и OneDrive для получения своего командно-контрольного (C2) сервера.
Подобная техника была использована российской государственной APT-группой Swallowtail (она же APT28, Fancy Bear, Sofacy, Strontium) в кампании 2022 года, в ходе которой она распространяла вредоносное ПО Graphite.
Попав на машину, Graphican делает следующее:
- Отключает мастер первого запуска Internet Explorer 10 и страницу приветствия с помощью ключей реестра.
- Проверяет, запущен ли процесс iexplore.exe.
- Создает глобальный COM-объект IWebBrowser2 для доступа в Интернет
- Аутентифицируется в Microsoft Graph API для получения действительного маркера доступа и refresh_token
- Используя Graph API, перечисляет дочерние файлы и папки внутри папки "Person" в OneDrive
- Получает имя первой папки и расшифровывает его, чтобы использовать в качестве C&C-сервера
- Генерирует идентификатор бота на основе имени хоста, локального IP, версии Windows, идентификатора языка системы по умолчанию и разрядности процесса (32- или 64-битный) взломанной машины
- Регистрирует бота в C&C с помощью строки формата "f$$$%s&&&%s&&&%s&&&%d&&&%ld&&&%s" или "f@@@%s###%s###%s###%d###%ld###%s", заполненной ранее собранной информацией с компьютера жертвы.
- Опрашивает C&C-сервер на предмет новых команд для выполнения
Эта кампания была направлена в первую очередь на министерства иностранных дел стран Северной и Южной Америки, хотя группа также атаковала государственный финансовый департамент одной из стран Северной и Южной Америки и корпорацию, продающую продукцию в Центральной и Южной Америке.
Indicators of Compromise
IPv4
- 172.104.244.187
- 50.116.3.164
Domains
- beltsymd.org
- cyclophilit.com
- cyprus-villas.org
- perusmartcity.com
- verisims.com
SHA256
- 02e8ea9a58c13f216bdae478f9f007e20b45217742d0fbe47f66173f1b195ef5
- 07fc745c29db1e2db61089d8d46299078794d7127120d04c07e0a1ea6933a6df
- 177c4722d873b78b5b2b92b12ae2b4d3b9f76247e67afd18e56d4e0c0063eecf
- 17a63ccd749def0417981c42b0765f7d56e6be3092a1f282b81619ca819f82ef
- 18560596e61eae328e75f4696a3d620b95db929bc461e0b29955df06bc114051
- 2b60e49e85b21a439855b5cb43cf799c1fb3cc0860076d52e41d48d88487e6d8
- 2da9a09a14c52e3f3d8468af24607602cca13bc579af958be9e918d736418660
- 31529b8b86d4b6a99d8f3b5f4b1f1b67f3c713c11b83b71d8df7d963275c5203
- 42379bb392751f6a94d08168835b67986c820490a6867c28a324a807c49eda3b
- 44c1c5c92771c0384182f72e9866d5fed4fda896d90c931fe8de363ed81106cf
- 4b78b1a3c162023f0c14498541cb6ae143fb01d8b50d6aa13ac302a84553e2d5
- 548ce27996e9309e93bf0bd29c7871977530761b2c20fc7dc3e2c16c025eb7bc
- 5600a7f57e79acdf711b106ee1c360fc898ed914e6d1af3c267067c158a41db6
- 617589fd7d1ea9a228886d2d17235aeb4a68fabd246d17427e50fb31a9a98bcd
- 617af8e063979fe9ca43479f199cb17c7abeab7bfe904a2baf65708df8461f6d
- 65436d5646c2dbb61607ed466132302f8c87dab82251f9e3f20443d5370b7806
- 7aa10e5c59775bfde81d27e63dfca26a1ec38065ddc87fe971c30d2b2b72d978
- 7d3f6188bfdde612acb17487da1b0b1aaaeb422adc9e13fd7eb61044bac7ae08
- 7d93862c021d56b4920cab5e6cb30a2d5fb21478e7158f104e520cc739a1678d
- 7fa350350fc1735a9b6f162923df8d960daffb73d6f5470df3c3317ae237a4e6
- 819d0b70a905ae5f8bef6c47423964359c2a90a168414f5350328f568e1c7301
- 858818cd739a439ac6795ff2a7c620d4d3f1e5c006913daf89026d3c2732c253
- 865c18480da73c0c32a5ee5835c1cfd08fa770e5b10bc3fb6f8b7dce1f66cf48
- 8d2af0e2e755ffb2be1ea3eca41eebfcb6341fb440a1b6a02bfc965fe79ad56b
- 9829c86fab4cbccb5168f98dcb076672dc6d069ddb693496b463ad704f31722e
- 9a94483a4563228cb698173c1991c7cf90726c2c126a3ce74c66ba226040f760
- a6cad2d0f8dc05246846d2a9618fc93b7d97681331d5826f8353e7c3a3206e86
- a78cc475c1875186dcd1908b55c2eeaf1bcd59dedaff920f262f12a3a9e9bfa8
- af4a10cbe8c773d6b1cfb34be2455eb023fb1b0d6f0225396920808fefb11523
- b42f9571d486a8aef5b36d72c1c8fff83f29cac2f9c61aece3ad70537d49b222
- bf4ed3b9a0339ef80a1af557d0f4e031fb4106a04b0f72c85f7f0ff0176ebb64
- bff65d615d1003bd22f17493efd65eb9ffbfe9a63668deebe09879982e5c6aa8
- c559eb7e2068e39bd26167dd4dca3eea48e51ad0b2c7631f2ed6ffcba01fb819
- d21797e95b0003d5f1b41a155cced54a45cd22eec3f997e867c11f6173ee7337
- d30ace69d406019c78907e4f796e99b9a0a51509b1f1c2e9b9380e534aaf5e30
- dc2423e21752f431ce3ad010ce41f56914e414f5a88fd3169e78d4cc08082f7b
- df6a740b0589dbd058227d3fcab1f1a847b4aa73feab9a2c157af31d95e0356f
- e25cc57793f0226ff31568be1fce1e279d35746016fc086a6f67734d26e305a0
- e7a6997e32ca09e78682fc9152455edaa1f9ea674ec51aecd7707b1bbda37c2f
- ed2f501408a7a6e1a854c29c4b0bc5648a6aa8612432df829008931b3e34bf56
- f06692b482d39c432791acabb236f7d21895df6f76e0b83992552ab5f1b43c8d
- f4575af8f42a1830519895a294c98009ffbb44b20baa170a6b5e4a71fd9ba663
- f653e93adf00cf2145d4bfa00153ae86905fe2c2d3c1f63e8f579e43b7069d51
- f6f57fc82399ef3759dcbc16b7a25343dea0b539332dacdf0ed289cc82e900db
- f98bd4af4bc0e127ae37004c23c9d14aa4723943edb4622777da8c6dcf578286
- fd21a339bf3655fcf55fc8ee165bb386fc3c0b34e61a87eb1aff5d094b1f1476