BackdoorDiplomacy

BackdoorDiplomacy Opis

BackdoorDiplomacy je APT (Advanced Persistent Threat) grupa usredotočena na izvođenje operacija napada na diplomatske ciljeve u Africi, Europi, Bliskom istoku i Aziji. Među žrtvama skupine su i ministarstva vanjskih poslova nekoliko afričkih zemalja. Rjeđe, BackdoorDiplomacy je bio uključen u operacije kršenja protiv telekomunikacijskih tvrtki i dobrotvornih organizacija.

Početni vektori infekcije koje koristi BackdoorDiplomacy uključuju pronalaženje ranjivih sustava i aplikacija izloženih internetu na web poslužiteljima. Primijećeno je da su hakeri iskorištavali ranjivost F5 BIP-IP (CVE-2020-5902) kako bi ispustili backdoor Linuxa, dok su u drugom napadu zloupotrijebili poslužitelj Microsoft Exchange preko PowerShell droppera koji je isporučio web-ljusku dobrog dokumenta pod nazivom China Chopper . Kao što ovi slučajevi jasno pokazuju, BackdoorDiplomacy ima zlonamjerne alate na različitim platformama koji mogu utjecati na Windows i Linux sustave.

Aktivnosti nakon infekcije

Nakon što se uspostavi točka proboja u žrtvinu mrežu, BackdoorDiplomacy koristi mnoštvo alata otvorenog koda za izviđanje i bočno kretanje. Među opaženim alatima koje koristi grupa su EarthWorm - mrežni tunel, Mimikatz , Nbtscan, NetCat - mrežni uslužni program sposoban čitati i pisati podatke preko mrežnih veza, PortQry, SMBTouch i nekoliko alata koji su procurili u ShadowBrokers NSA deponiju podataka.

Konačno, grupa isporučuje svoj prepoznatljivi zlonamjerni instrument pod nazivom Turian Backdoor . Analiza zlonamjernog softvera otkrila je da je BackdoorDiplomacy razvio Turian na temelju backdoor prijetnje po imenu Quarian. Ovaj raniji backdoor korišten je protiv sličnog skupa ciljeva u nizu napada koji su bili usmjereni na diplomatske subjekte smještene u Siriji i Sjedinjenim Državama. Treba napomenuti da Backdoor Diplomacy također ispušta zaseban izvršni korisni teret koji ima zadatak da otkrije sve uklonjive uređaje za pohranu spojenih na kompromitirani sustav. Zatim može kopirati njihov sadržaj i pohraniti ga u koš za smeće glavnog pogona.

Veze s drugim akterima prijetnje

BackdoorDiplomacy pokazuje određena preklapanja s drugim kibernetičkim kriminalnim skupinama iz azijske regije. Na primjer, protokol za šifriranje koji Turian koristi gotovo je isti kao onaj koji se može vidjeti u Whitebird backdooru, prijetećem alatu koji se pripisuje grupi Calypso. Whitebird je bio angažiran u napadima na diplomatske organizacije iz Kazahstana i Kirgistana tijekom istog vremenskog okvira kao i operacije BackdoorDiplomacy. Preklapanje se također može uspostaviti između BackdoorDiplomacy i druge grupe pod nazivom APT15 jer se obje oslanjaju na iste tehnike i procedure prilikom implementacije svojih odgovarajućih backdoor korisnih opterećenja - uglavnom otmice DLL naloga pretraživanja.