BackdoorDiplomacy
BackdoorDiplomacy е APT (Advanced Persistent Threat) група, фокусирана върху извършването на операции срещу дипломатически цели в Африка, Европа, Близкия изток и Азия. Сред жертвите на групата са и министерствата на външните работи на няколко африкански държави. По-рядко BackdoorDiplomacy е участвал в операции за пробив срещу телекомуникационни компании и благотворителни организации.
Първоначалните вектори на инфекция, използвани от BackdoorDiplomacy, включват намиране на уязвими системи и приложения, изложени на интернет, на уеб сървъри. Наблюдавано е, че хакерите използват F5 BIP-IP уязвимост (CVE-2020-5902), за да пуснат бекдор на Linux, докато при друга атака злоупотребяват със сървър на Microsoft Exchange чрез капкомер PowerShell, който доставя добре документирана уеб обвивка на име China Chopper . Както ясно показват тези случаи, BackdoorDiplomacy има междуплатформени злонамерени инструменти, които могат да засегнат както Windows, така и Linux системите.
Дейности след заразяване
След като се установи точка на пробив в мрежата на жертвата, BackdoorDiplomacy използва множество инструменти с отворен код за разузнаване и странично движение. Сред наблюдаваните инструменти, използвани от групата, са EarthWorm – мрежов тунел, Mimikatz , Nbtscan, NetCat – мрежова програма, способна да чете и записва данни през мрежови връзки, PortQry, SMBTouch и няколко инструмента, които бяха изтекли в сметището за данни на ShadowBrokers NSA.
В крайна сметка групата доставя своя знаков зловреден инструмент, наречен Turian Backdoor . Анализът на зловредния софтуер разкри, че BackdoorDiplomacy е разработил Turian въз основа на заплаха от бекдор на име Quarian. Тази по-ранна задна врата беше използвана срещу подобен набор от цели в серия от атаки, насочени срещу дипломатически структури, разположени в Сирия и Съединените щати. Трябва да се отбележи, че Backdoor Diplomacy също така пуска отделен изпълним полезен товар, натоварен със задачата да открие всякакви сменяеми устройства за съхранение, свързани към компрометираната система. След това може да копира съдържанието им и да ги съхранява в кошчето на главното устройство.
Връзки с други участници в заплахата
BackdoorDiplomacy показва известно припокриване с други киберпрестъпни групи от азиатския регион. Например, протоколът за криптиране, който Turian използва, е почти същият като този, който се вижда в бекдора на Whitebird, заплашителен инструмент, приписван на групата Calypso. Whitebird е бил използван в атаки срещу дипломатически организации от Казахстан и Киргизстан по време на същото време като операциите BackdoorDiplomacy. Може също да се установи припокриване между BackdoorDiplomacy и друга група, наречена APT15, тъй като и двете разчитат на едни и същи техники и процедури, когато разгръщат съответните си бекдори полезни натоварвания - главно отвличане на поръчка за търсене на DLL.
