الدبلوماسية

الدبلوماسية الوصف

BackdoorDiplomacy هي مجموعة APT (التهديد المستمر المتقدم) تركز على تنفيذ عمليات هجومية ضد أهداف دبلوماسية في إفريقيا وأوروبا والشرق الأوسط وآسيا. ومن بين ضحايا المجموعة أيضا وزارات خارجية عدة دول أفريقية. في كثير من الأحيان ، شاركت BackdoorDiplomacy في عمليات اختراق ضد شركات الاتصالات والمنظمات الخيرية.

تتضمن نواقل العدوى الأولية التي استغلتها BackdoorDiplomacy العثور على أنظمة وتطبيقات معرضة للخطر على الإنترنت على خوادم الويب. لقد لوحظ أن المتسللين يستغلون ثغرة F5 BIP-IP (CVE-2020-5902) لإسقاط باب خلفي لينكس بينما في هجوم آخر قاموا بإساءة استخدام خادم Microsoft Exchange من خلال قطارة PowerShell التي قدمت غلاف ويب جيد المستندات يسمى China Chopper . كما تظهر هذه الحالات بوضوح ، فإن BackdoorDiplomacy لديها أدوات ضارة عبر الأنظمة الأساسية يمكن أن تؤثر على أنظمة Windows و Linux.

أنشطة ما بعد العدوى

بمجرد إنشاء نقطة اختراق لشبكة الضحية ، تستخدم BackdoorDiplomacy العديد من الأدوات مفتوحة المصدر للاستطلاع والحركة الجانبية. من بين الأدوات المرصودة التي استخدمتها المجموعة EarthWorm - نفق شبكة ، Mimikatz ، Nbtscan ، NetCat - أداة شبكات قادرة على قراءة البيانات وكتابتها عبر اتصالات الشبكة ، PortQry ، SMBTouch ، والعديد من الأدوات التي تم تسريبها في ShadowBrokers NSA data dump.

في النهاية ، تسلم المجموعة أداة خبيثة تحمل توقيعها تسمى Turian Backdoor . كشف تحليل البرمجيات الخبيثة أن BackdoorDiplomacy طورت Turian بناءً على تهديد مستتر يسمى Quarian. تم استغلال هذا الباب الخلفي السابق ضد مجموعة مماثلة من الأهداف في سلسلة من الهجمات التي كانت تستهدف الكيانات الدبلوماسية الموجودة في سوريا والولايات المتحدة. وتجدر الإشارة إلى أن Backdoor Diplomacy تسقط أيضًا حمولة منفصلة قابلة للتنفيذ مكلفة باكتشاف أي أجهزة تخزين قابلة للإزالة متصلة بالنظام المخترق. يمكنه بعد ذلك نسخ محتوياتها وتخزينها في سلة المحذوفات بمحرك الأقراص الرئيسي.

صلات بجهات التهديد الأخرى

تظهر BackdoorDiplomacy بعض التداخلات مع مجموعات مجرمي الإنترنت الأخرى من المنطقة الآسيوية. على سبيل المثال ، بروتوكول التشفير الذي تستخدمه Turian هو تقريبًا نفس البروتوكول الذي شوهد في Whitebird backdoor ، وهي أداة تهديد تنسب إلى مجموعة Calypso. تم استخدام Whitebird في هجمات ضد المنظمات الدبلوماسية من كازاخستان وقيرغيزستان خلال نفس الإطار الزمني لعمليات BackdoorDiplomacy. يمكن أيضًا إنشاء تداخل بين BackdoorDiplomacy ومجموعة أخرى تسمى APT15 حيث يعتمد كلاهما على نفس الأساليب والإجراءات عند نشر حمولات الباب الخلفي الخاصة بهما - بشكل أساسي اختطاف أمر بحث DLL.