BackdoorDiplomácia

A BackdoorDiplomacy egy APT (Advanced Persistent Threat) csoport, amely afrikai, európai, közel-keleti és ázsiai diplomáciai célpontok elleni támadásokra összpontosít. A csoport áldozatai között van több afrikai ország külügyminisztériuma is. A BackdoorDiplomacy ritkábban vett részt távközlési társaságok és jótékonysági szervezetek elleni jogsértési műveletekben.

A BackdoorDiplomacy által használt kezdeti fertőzési vektorok közé tartozik a sebezhető, internetnek kitett rendszerek és alkalmazások megtalálása a webszervereken. Megfigyelték, hogy a hackerek egy F5 BIP-IP sebezhetőséget (CVE-2020-5902) kihasználva egy Linux-hátsó ajtót dobtak el, míg egy másik támadás során visszaéltek egy Microsoft Exchange szervert egy PowerShell dropperen keresztül, amely egy China Chopper nevű, jól dokumentált webhéjat szállított. . Amint ezek az esetek egyértelműen mutatják, a BackdoorDiplomacy platformon átívelő rosszindulatú eszközökkel rendelkezik, amelyek a Windows és a Linux rendszereket egyaránt érinthetik.

Fertőzés utáni tevékenységek

Amint az áldozat hálózatába behatolnak, a BackdoorDiplomacy számos nyílt forráskódú eszközt használ a felderítéshez és az oldalirányú mozgáshoz. A csoport által használt megfigyelt eszközök közé tartozik az EarthWorm - egy hálózati alagút, a Mimikatz , az Nbtscan, a NetCat - hálózati segédprogram, amely képes adatokat olvasni és írni a hálózati kapcsolatokon keresztül, a PortQry, az SMBTouch és számos olyan eszköz, amelyek kiszivárogtak a ShadowBrokers NSA adattárolójában.

Végül a csoport átadja saját, Turian Backdoor nevű rosszindulatú eszközét. A kártevő elemzése feltárta, hogy a BackdoorDiplomacy egy Quarian nevű hátsóajtó-fenyegetés alapján fejlesztette ki a Turiant. Ezt a korábbi hátsó ajtót hasonló célcsoportok ellen használták fel egy sor támadás során, amelyek Szíriában és az Egyesült Államokban található diplomáciai szervezetek ellen irányultak. Meg kell jegyezni, hogy a Backdoor Diplomacy egy külön végrehajtható hasznos adatot is eldob, amelynek feladata a feltört rendszerhez csatlakoztatott cserélhető tárolóeszközök észlelése. Ezután átmásolhatja a tartalmukat, és a fő meghajtó lomtárában tárolhatja.

Kapcsolatok más fenyegetés szereplőivel

A BackdoorDiplomacy bizonyos átfedéseket mutat az ázsiai régió más kiberbűnözői csoportjaival. Például a Turian által használt titkosítási protokoll majdnem megegyezik a Whitebird hátsó ajtóban láthatóval, amely a Calypso csoportnak tulajdonított fenyegető eszköz. Whitebird-et a kazahsztáni és kirgizisztáni diplomáciai szervezetek elleni támadásokban alkalmazták a BackdoorDiplomacy műveletekkel egyidőben. Átfedés is létrehozható a BackdoorDiplomacy és egy másik, APT15 nevű csoport között, mivel mindkettő ugyanazokra a technikákra és eljárásokra támaszkodik, amikor a megfelelő hátsóajtós rakományokat telepíti – főként a DLL-keresési sorrend eltérítését.