BackdoorDiplomacy
BackdoorDiplomacy je skupina APT (Advanced Persistent Threat) zaměřená na provádění útočných operací proti diplomatickým cílům v Africe, Evropě, na Středním východě a v Asii. Mezi oběťmi skupiny jsou také ministerstva zahraničí několika afrických zemí. Méně často se BackdoorDiplomacy zapojuje do operací proti telekomunikačním společnostem a charitativním organizacím.
Mezi počáteční vektory infekce, které BackdoorDiplomacy využívá, patří nalezení zranitelných systémů a aplikací vystavených internetu na webových serverech. Bylo pozorováno, že hackeři zneužili zranitelnost F5 BIP-IP (CVE-2020-5902) k odstranění zadních vrátek Linuxu, zatímco při jiném útoku zneužili server Microsoft Exchange prostřednictvím kapátka PowerShell, který poskytl dobře dokumentovaný webový shell s názvem China Chopper. . Jak tyto případy jasně ukazují, BackdoorDiplomacy má škodlivé nástroje pro různé platformy, které mohou ovlivnit systémy Windows i Linux.
Postinfekční aktivity
Jakmile je vytvořen bod narušení sítě oběti, BackdoorDiplomacy využívá množství open-source nástrojů pro průzkum a pohyb do stran. Mezi pozorovanými nástroji používanými skupinou jsou EarthWorm – síťový tunel, Mimikatz , Nbtscan, NetCat – síťová utilita schopná číst a zapisovat data přes síťová připojení, PortQry, SMBTouch a několik nástrojů, které unikly při výpisu dat ShadowBrokers NSA.
Nakonec skupina dodá svůj charakteristický škodlivý nástroj s názvem Turian Backdoor . Analýza malwaru odhalila, že BackdoorDiplomacy vyvinul Turian na základě backdoorové hrozby jménem Quarian. Tato dřívější zadní vrátka byla využita proti podobnému souboru cílů v sérii útoků, které byly zaměřeny na diplomatické subjekty nacházející se v Sýrii a Spojených státech. Je třeba poznamenat, že Backdoor Diplomacy také upouští od samostatného spustitelného obsahu, který má za úkol detekovat všechna vyměnitelná úložná zařízení připojená k napadenému systému. Poté může zkopírovat jejich obsah a uložit je do koše hlavního disku.
Spojení s jinými aktéry hrozeb
BackdoorDiplomacy vykazuje určité přesahy s jinými kyberzločineckými skupinami z asijské oblasti. Například šifrovací protokol, který Turian používá, je téměř stejný jako u backdoor Whitebird, hrozivého nástroje připisovaného skupině Calypso. Whitebird byl zaměstnán při útocích proti diplomatickým organizacím z Kazachstánu a Kyrgyzstánu ve stejném časovém rámci jako operace BackdoorDiplomacy. Mezi BackdoorDiplomacy a další skupinou nazvanou APT15 lze také vytvořit překrývání, protože obě spoléhají na stejné techniky a postupy při nasazování svých příslušných zadních vrátek – zejména únos příkazu k vyhledávání DLL.
