پشت درب دیپلماسی

پشت درب دیپلماسی Description

BackdoorDiplomacy یک گروه APT (تهدید پایدار پیشرفته) است که بر اجرای عملیات حمله علیه اهداف دیپلماتیک در آفریقا، اروپا، خاورمیانه و آسیا متمرکز است. در میان قربانیان این گروه، وزارتخانه های خارجه چندین کشور آفریقایی نیز حضور دارند. به ندرت، BackdoorDiplomacy در عملیات نقض علیه شرکت های مخابراتی و سازمان های خیریه شرکت داشته است.

ناقلین آلودگی اولیه که توسط BackdoorDiplomacy مورد سوء استفاده قرار می گیرد شامل یافتن سیستم ها و برنامه های کاربردی آسیب پذیر در معرض اینترنت در سرورهای وب می باشد. مشاهده شده است که هکرها از یک آسیب‌پذیری F5 BIP-IP (CVE-2020-5902) برای رها کردن یک درب پشتی لینوکس سوء استفاده می‌کنند، در حالی که در حمله دیگری از سرور Microsoft Exchange از طریق یک قطره‌انداز PowerShell که یک پوسته وب مستند به نام China Chopper را ارائه می‌کرد، سوء استفاده کردند. . همانطور که این موارد به وضوح نشان می دهد، BackdoorDiplomacy دارای ابزارهای مخرب بین پلتفرمی است که می تواند بر سیستم های ویندوز و لینوکس تأثیر بگذارد.

فعالیت های پس از عفونت

هنگامی که یک نقطه نفوذ به شبکه قربانی ایجاد شد، BackdoorDiplomacy از بسیاری از ابزارهای منبع باز برای شناسایی و حرکت جانبی استفاده می کند. از جمله ابزارهای مشاهده شده مورد استفاده این گروه می‌توان به EarthWorm - یک تونل شبکه، Mimikatz ، Nbtscan، NetCat - ابزار شبکه که قادر به خواندن و نوشتن داده‌ها در سراسر اتصالات شبکه است، PortQry، SMBTouch و چندین ابزار که در ذخیره‌سازی داده ShadowBrokers NSA به بیرون درز کرد، اشاره کرد.

در نهایت، این گروه ابزار مخرب امضا شده خود به نام Turian Backdoor را ارائه می کند . تجزیه و تحلیل این بدافزار نشان داد که BackdoorDiplomacy توریان را بر اساس یک تهدید درب پشتی به نام Qarian توسعه داده است. این درب پشتی قبلی علیه مجموعه مشابهی از اهداف در مجموعه‌ای از حملات که علیه نهادهای دیپلماتیک مستقر در سوریه و ایالات متحده هدف قرار گرفتند، استفاده شد. لازم به ذکر است که Backdoor Diplomacy همچنین یک بار اجرایی جداگانه را حذف می کند که وظیفه دارد هر دستگاه ذخیره سازی قابل جابجایی متصل به سیستم در معرض خطر را شناسایی کند. سپس می تواند محتویات آنها را کپی کرده و در سطل بازیافت درایو اصلی ذخیره کند.

ارتباط با دیگر بازیگران تهدید

BackdoorDiplomacy همپوشانی های خاصی را با دیگر گروه های مجرم سایبری از منطقه آسیا نشان می دهد. به عنوان مثال، پروتکل رمزگذاری که توریان استفاده می کند تقریباً مشابه پروتکلی است که در پشتی Whitebird دیده می شود، ابزاری تهدیدکننده که به گروه Calypso نسبت داده می شود. Whitebird در حملات علیه سازمان های دیپلماتیک از قزاقستان و قرقیزستان در همان چارچوب زمانی عملیات BackdoorDiplomacy به کار گرفته شد. همچنین می‌توان بین BackdoorDiplomacy و گروه دیگری به نام APT15 همپوشانی ایجاد کرد، زیرا هر دو در هنگام استقرار بارهای درپشتی مربوطه خود به تکنیک‌ها و رویه‌های یکسانی تکیه می‌کنند - عمدتاً ربودن سفارش جستجوی DLL.