백도어 외교

백도어 외교 설명

BackdoorDiplomacy는 아프리카, 유럽, 중동 및 아시아의 외교 목표에 대한 공격 작전을 수행하는 데 중점을 둔 APT (Advanced Persistent Threat) 그룹입니다. 이 그룹의 희생자에는 여러 아프리카 국가의 외무부도 포함됩니다. 덜 빈번하게 BackdoorDiplomacy는 통신 회사 및 자선 단체에 대한 침해 작업에 관여했습니다.

BackdoorDiplomacy에 의해 악용되는 초기 감염 경로에는 웹 서버에서 취약한 인터넷 노출 시스템 및 응용 프로그램을 찾는 것이 포함됩니다. 해커는 F5 BIP-IP 취약성 (CVE-2020-5902)을 악용하여 Linux 백도어를 드롭하는 반면 다른 공격에서 China Chopper라는 잘 문서화 된 웹 셸을 제공하는 PowerShell dropper를 통해 Microsoft Exchange 서버를 악용하는 것으로 관찰되었습니다. . 이러한 사례에서 분명히 알 수 있듯이 BackdoorDiplomacy에는 Windows 및 Linux 시스템 모두에 영향을 줄 수있는 크로스 플랫폼 악성 도구가 있습니다.

감염 후 활동

피해자의 네트워크에 대한 침해 지점이 설정되면 BackdoorDiplomacy는 정찰 및 측면 이동을 위해 다양한 오픈 소스 도구를 사용합니다. 이 그룹에서 사용하는 도구로는 EarthWorm (네트워크 터널), Mimikatz , Nbtscan, NetCat ( 네트워크 연결을 통해 데이터를 읽고 쓸 수있는 네트워킹 유틸리티), PortQry, SMBTouch 및 ShadowBrokers NSA 데이터 덤프에서 유출 된 여러 도구가 있습니다.

궁극적으로이 그룹은 Turian Backdoor 라는 시그니처 악성 도구를 제공합니다. 악성 코드 분석에 따르면 BackdoorDiplomacy는 Quarian이라는 백도어 위협을 기반으로 Turian을 개발했습니다. 이 초기 백도어는 시리아와 미국에있는 외교 기관을 겨냥한 일련의 공격에서 유사한 표적 세트에 대해 활용되었습니다. Backdoor Diplomacy는 또한 손상된 시스템에 연결된 이동식 저장 장치를 감지하는 작업을 수행하는 별도의 실행 가능한 페이로드를 삭제한다는 점에 유의해야합니다. 그런 다음 내용을 복사하여 기본 드라이브의 휴지통에 저장할 수 있습니다.

다른 위협 행위자와의 연결

BackdoorDiplomacy는 아시아 지역의 다른 사이버 범죄 그룹과 중복되는 부분이 있습니다. 예를 들어 Turian이 사용하는 암호화 프로토콜은 Calypso 그룹의 위협 도구 인 Whitebird 백도어에서 볼 수있는 것과 거의 동일합니다. Whitebird는 BackdoorDiplomacy 작전과 같은 기간 동안 카자흐스탄과 키르기스스탄의 외교 조직에 대한 공격에 사용되었습니다. BackdoorDiplomacy와 APT15 라는 다른 그룹간에 중복이 설정 될 수도 있습니다. 둘 다 각각의 백도어 페이로드를 배포 할 때 동일한 기술과 절차에 의존하기 때문입니다 (주로 DLL 검색 순서 하이재킹).