BackdoorDiplomazia

BackdoorDiplomazia Descrizione

BackdoorDiplomacy è un gruppo APT (Advanced Persistent Threat) focalizzato sulla realizzazione di operazioni di attacco contro obiettivi diplomatici in Africa, Europa, Medio Oriente e Asia. Tra le vittime del gruppo anche i Ministeri degli Esteri di diversi Paesi africani. Meno frequentemente, BackdoorDiplomacy è stata coinvolta in operazioni di violazione contro società di telecomunicazioni e organizzazioni di beneficenza.

I vettori di infezione iniziali sfruttati da BackdoorDiplomacy includono la ricerca di sistemi e applicazioni vulnerabili esposti a Internet sui server Web. È stato osservato che gli hacker sfruttano una vulnerabilità F5 BIP-IP (CVE-2020-5902) per far cadere una backdoor Linux mentre in un altro attacco hanno abusato di un server Microsoft Exchange tramite un dropper PowerShell che ha fornito una shell Web ben documentata chiamata China Chopper . Come mostrano chiaramente questi casi, BackdoorDiplomacy dispone di strumenti dannosi multipiattaforma che possono influenzare sia i sistemi Windows che Linux.

Attività post-infezione

Una volta stabilito un punto di violazione nella rete della vittima, BackdoorDiplomacy utilizza una moltitudine di strumenti open source per la ricognizione e il movimento laterale. Tra gli strumenti osservati utilizzati dal gruppo ci sono EarthWorm - un tunnel di rete, Mimikatz , Nbtscan, NetCat - utility di rete in grado di leggere e scrivere dati attraverso connessioni di rete, PortQry, SMBTouch e diversi strumenti che sono trapelati nel dump dei dati NSA di ShadowBrokers.

Alla fine, il gruppo fornisce il suo strumento dannoso caratteristico chiamato Turian Backdoor . L'analisi del malware ha rivelato che BackdoorDiplomacy ha sviluppato Turian sulla base di una minaccia backdoor chiamata Quarian. Questa precedente backdoor è stata sfruttata contro una serie simile di obiettivi in una serie di attacchi diretti a entità diplomatiche situate in Siria e negli Stati Uniti. Va notato che Backdoor Diplomacy rilascia anche un payload eseguibile separato incaricato di rilevare eventuali dispositivi di archiviazione rimovibili collegati al sistema compromesso. Può quindi copiare il loro contenuto e memorizzarli nel cestino dell'unità principale.

Connessioni con altri attori minacciosi

BackdoorDiplomacy mostra alcune sovrapposizioni con altri gruppi di criminali informatici della regione asiatica. Ad esempio, il protocollo di crittografia utilizzato da Turian è quasi lo stesso di quello visto nella backdoor di Whitebird, uno strumento minaccioso attribuito al gruppo Calypso. Whitebird è stato impiegato in attacchi contro organizzazioni diplomatiche del Kazakistan e del Kirghizistan durante lo stesso lasso di tempo delle operazioni BackdoorDiplomacy. È inoltre possibile stabilire una sovrapposizione tra BackdoorDiplomacy e un altro gruppo denominato APT15 poiché entrambi si basano sulle stesse tecniche e procedure durante l'implementazione dei rispettivi payload backdoor, principalmente il dirottamento dell'ordine di ricerca della DLL.