पिछले दरवाजे की कूटनीति
बैकडोर डिप्लोमेसी एक एपीटी (एडवांस पर्सिस्टेंट थ्रेट) समूह है जो अफ्रीका, यूरोप, मध्य पूर्व और एशिया में राजनयिक लक्ष्यों के खिलाफ हमले के संचालन पर केंद्रित है। समूह के पीड़ितों में कई अफ्रीकी देशों के विदेश मंत्रालय भी शामिल हैं। कम बार, बैकडोर डिप्लोमेसी दूरसंचार कंपनियों और धर्मार्थ संगठनों के खिलाफ उल्लंघन कार्यों में शामिल रही है।
बैकडोर डिप्लोमेसी द्वारा शोषण किए गए प्रारंभिक संक्रमण वैक्टर में वेब सर्वर पर कमजोर इंटरनेट-एक्सपोज़्ड सिस्टम और एप्लिकेशन ढूंढना शामिल है। हैकर्स एक लिनक्स पिछले दरवाजे छोड़ने के लिए, जबकि एक अन्य हमले में वे एक PowerShell ड्रॉपर कि एक अच्छी तरह से दस्तावेज़ वेब खोल नामित वितरित के माध्यम से एक Microsoft Exchange सर्वर के साथ दुर्व्यवहार एक F5 BIP-आईपी भेद्यता (CVE-2020-5902) का फायदा उठाने की भी देखा गया है चीन चोपर . जैसा कि ये उदाहरण स्पष्ट रूप से दिखाते हैं, बैकडोरडिप्लोमेसी में क्रॉस-प्लेटफ़ॉर्म दुर्भावनापूर्ण उपकरण हैं जो विंडोज और लिनक्स सिस्टम दोनों को प्रभावित कर सकते हैं।
संक्रमण के बाद की गतिविधियाँ
एक बार पीड़ित के नेटवर्क में एक उल्लंघन बिंदु स्थापित हो जाने के बाद, बैकडोर डिप्लोमेसी टोही और पार्श्व आंदोलन के लिए कई ओपन-सोर्स टूल का उपयोग करता है। एक नेटवर्क सुरंग, - समूह द्वारा इस्तेमाल किया मनाया उपकरण के अलावा केंचुआ हैं Mimikatz , Nbtscan, netcat - नेटवर्किंग पढ़ने और नेटवर्क कनेक्शन, Portqry, SMBTouch, और कई उपकरण है कि में लीक हो गया भर में डेटा लिखने में सक्षम उपयोगिता ShadowBrokers एनएसए डेटा डंप।
अंततः, समूह अपने हस्ताक्षर दुर्भावनापूर्ण उपकरण को ट्यूरियन बैकडोर नाम से वितरित करता है । मैलवेयर के विश्लेषण से पता चला है कि बैकडोर डिप्लोमेसी ने ट्यूरियन को क्वेरियन नामक पिछले दरवाजे के खतरे के आधार पर विकसित किया है। यह पहले का पिछला दरवाजा सीरिया और संयुक्त राज्य अमेरिका में स्थित राजनयिक संस्थाओं के उद्देश्य से हमलों की एक श्रृंखला में इसी तरह के लक्ष्यों के खिलाफ इस्तेमाल किया गया था। यह ध्यान दिया जाना चाहिए कि पिछले दरवाजे की कूटनीति एक अलग निष्पादन योग्य पेलोड को भी छोड़ देती है जिसे समझौता किए गए सिस्टम से जुड़े किसी भी हटाने योग्य भंडारण उपकरणों का पता लगाने का काम सौंपा जाता है। यह तब उनकी सामग्री की प्रतिलिपि बना सकता है और उन्हें मुख्य ड्राइव के रीसायकल बिन में संग्रहीत कर सकता है।
अन्य खतरनाक अभिनेताओं से कनेक्शन
बैकडोर डिप्लोमेसी एशियाई क्षेत्र के अन्य साइबर अपराधी समूहों के साथ कुछ ओवरलैप प्रदर्शित करता है। उदाहरण के लिए, एन्क्रिप्शन प्रोटोकॉल जो ट्यूरियन उपयोग करता है वह लगभग वैसा ही है जैसा कि व्हाइटबर्ड पिछले दरवाजे में देखा गया था, जो कैलिप्सो समूह के लिए एक खतरनाक उपकरण है। व्हाइटबर्ड कजाकिस्तान और किर्गिस्तान के राजनयिक संगठनों के खिलाफ उसी समय सीमा के दौरान बैकडोर डिप्लोमेसी ऑपरेशंस के खिलाफ हमलों में कार्यरत था। BackdoorDiplomacy और APT15 नामक एक अन्य समूह के बीच एक ओवरलैप भी स्थापित किया जा सकता है क्योंकि दोनों अपने संबंधित पिछले दरवाजे पेलोड को तैनात करते समय समान तकनीकों और प्रक्रियाओं पर भरोसा करते हैं - मुख्य रूप से DLL खोज आदेश अपहरण।
