Bagdørdiplomati

BackdoorDiplomacy er en APT-gruppe (Advanced Persistent Threat) med fokus på at udføre angrebsoperationer mod diplomatiske mål i Afrika, Europa, Mellemøsten og Asien. Gruppens ofre inkluderer også udenrigsministerierne i flere afrikanske lande. Mindre hyppigt har BackdoorDiplomacy været involveret i overtrædelsesoperationer mod telekommunikationsselskaber og velgørende organisationer.

De første infektionsvektorer, der udnyttes af BackdoorDiplomacy, inkluderer at finde sårbare interneteksponerede systemer og applikationer på webservere. Hackerne er blevet observeret for at udnytte en F5 BIP-IP-sårbarhed (CVE-2020-5902) til at droppe en Linux-bagdør, mens de i et andet angreb misbrugte en Microsoft Exchange-server gennem en PowerShell-dropper, der leverede en veldokumenteret webskal ved navn China Chopper . Som disse forekomster tydeligt viser, har BackdoorDiplomacy ondsindede ondsindede værktøjer, der kan påvirke både Windows- og Linux-systemer.

Aktiviteter efter infektion

Når et brudpunkt i offerets netværk er etableret, bruger BackdoorDiplomacy et væld af open source-værktøjer til rekognoscering og lateral bevægelse. Blandt de observerede værktøjer, der bruges af gruppen, er EarthWorm - en netværkstunnel, Mimikatz , Nbtscan, NetCat - netværksværktøj, der er i stand til at læse og skrive data på tværs af netværksforbindelser, PortQry, SMBTouch og flere værktøjer, der blev lækket i ShadowBrokers NSA-datadumpen.

I sidste ende leverer gruppen sit underskrift ondsindede instrument ved navn Turian Backdoor . Analyse af malware har afsløret, at BackdoorDiplomacy udviklede Turian baseret på en bagdørstrussel ved navn Quarian. Denne tidligere bagdør blev gearet mod et lignende sæt mål i en række angreb, der var rettet mod diplomatiske enheder i Syrien og USA. Det skal bemærkes, at Backdoor Diplomacy også dropper en separat eksekverbar nyttelast, der har til opgave at opdage eventuelle flytbare lagerenheder, der er forbundet med det kompromitterede system. Det kan derefter kopiere deres indhold og gemme det i hoveddrevets papirkurv.

Forbindelser til andre trusselskuespillere

BackdoorDiplomacy udviser visse overlapninger med andre cyberkriminelle grupper fra den asiatiske region. For eksempel er den krypteringsprotokol, som Turian bruger, næsten den samme som den, der ses i Whitebird-bagdøren, et truende værktøj, der tilskrives Calypso-gruppen. Whitebird blev ansat i angreb mod diplomatiske organisationer fra Kasakhstan og Kirgisistan i samme tidsramme som BackdoorDiplomacy-operationerne. Der kan også etableres en overlapning mellem BackdoorDiplomacy og en anden gruppe ved navn APT15, da begge er afhængige af de samme teknikker og procedurer, når de implementerer deres respektive bagdør nyttelast - hovedsagelig kapring af DLL-søgningsordre.