Backdoor Diplomacy

BackdoorDiplomacy on APT (Advanced Persistent Threat) -ryhmä, joka keskittyy hyökkäysoperaatioihin diplomaattisia kohteita vastaan Afrikassa, Euroopassa, Lähi-idässä ja Aasiassa. Ryhmän uhreja on myös useiden Afrikan maiden ulkoministeriöt. Harvemmin BackdoorDiplomacy on ollut mukana tietoliikenneyrityksiä ja hyväntekeväisyysjärjestöjä vastaan kohdistuvissa loukkausoperaatioissa.

Alkuperäisiä BackdoorDiplomacyn käyttämiä tartuntavektoreita ovat haavoittuvien Internetin alttiina olevien järjestelmien ja sovellusten löytäminen Web-palvelimista. Hakkereiden on havaittu hyödyntävän F5 BIP-IP-haavoittuvuutta (CVE-2020-5902) Linuxin takaoven pudottamiseksi, kun taas toisessa hyökkäyksessä he käyttivät väärin Microsoft Exchange -palvelinta PowerShell-poistimen kautta, joka toimitti hyvin dokumentoidun Web-kuoren nimeltä China Chopper. . Kuten nämä tapaukset selvästi osoittavat, BackdoorDiplomacylla on monialustaisia haittatyökaluja, jotka voivat vaikuttaa sekä Windows- että Linux-järjestelmiin.

Infektion jälkeiset toimet

Kun murtokohta uhrin verkkoon on löydetty, BackdoorDiplomacy käyttää monia avoimen lähdekoodin työkaluja tiedusteluun ja sivuttaiseen liikkumiseen. Niistä havaitut käyttämiä työkaluja ryhmässä ovat kastemato - verkko tunneli, Mimikatz , Nbtscan, netcat - verkottuminen hyödyllisyys kykenee lukemaan ja kirjoittaa tietoa verkkoyhteyksien ylitse, PortQry, SMBTouch, ja useita työkaluja, jotka vuotanut ShadowBrokers NSA datatyhjennyspyyntöviestillä.

Lopulta ryhmä toimittaa haitallisen instrumenttinsa nimeltä Turian Backdoor . Haittaohjelman analyysi on paljastanut, että BackdoorDiplomacy kehitti Turianin Quarian-nimisen takaoven uhan perusteella. Tätä aikaisempaa takaovea hyödynnettiin samanlaisia kohteita vastaan useissa hyökkäyksissä, jotka kohdistuivat Syyriassa ja Yhdysvalloissa sijaitseviin diplomaattisiin yksiköihin. On huomattava, että Backdoor Diplomacy myös pudottaa erillisen suoritettavan hyötykuorman, jonka tehtävänä on havaita kaikki irrotettavat tallennuslaitteet, jotka on liitetty vaarantuneeseen järjestelmään. Se voi sitten kopioida niiden sisällön ja tallentaa ne pääaseman roskakoriin.

Yhteydet muihin uhkatekijöihin

BackdoorDiplomacylla on tiettyjä päällekkäisyyksiä muiden Aasian alueen kyberrikollisryhmien kanssa. Esimerkiksi Turianin käyttämä salausprotokolla on melkein sama kuin Whitebird-takaovessa, Calypso-ryhmän uhkaavassa työkalussa. Whitebird työskenteli hyökkäyksissä Kazakstanin ja Kirgisian diplomaattisia järjestöjä vastaan samaan aikaan kuin BackdoorDiplomacy-operaatiot. Päällekkäisyys voidaan myös muodostaa BackdoorDiplomacy- ja APT15-nimisen ryhmän välillä, koska molemmat luottavat samoihin tekniikoihin ja menettelyihin ottaessaan käyttöön vastaavia takaoven hyötykuormia - pääasiassa DLL-hakujärjestyksen kaappausta.