Aizmugures durvisDiplomātija

BackdoorDiplomacy ir APT (Advanced Persistent Threat) grupa, kas koncentrējas uz uzbrukumu operāciju veikšanu pret diplomātiskajiem mērķiem Āfrikā, Eiropā, Tuvajos Austrumos un Āzijā. Grupējuma upuru vidū ir arī vairāku Āfrikas valstu Ārlietu ministrijas. Retāk BackdoorDiplomacy ir bijusi iesaistīta pārkāpuma operācijās pret telekomunikāciju uzņēmumiem un labdarības organizācijām.

Sākotnējie infekcijas pārnēsātāji, ko izmantoja BackdoorDiplomacy, ietver neaizsargātu internetam pakļautu sistēmu un lietojumprogrammu atrašanu tīmekļa serveros. Ir novērots, ka hakeri izmanto F5 BIP-IP ievainojamību (CVE-2020-5902), lai atmestu Linux aizmugures durvis, savukārt citā uzbrukumā viņi ļaunprātīgi izmantoja Microsoft Exchange serveri, izmantojot PowerShell pilinātāju, kas nodrošināja labi dokumentētu tīmekļa apvalku ar nosaukumu China Chopper. . Kā skaidri redzams šajos gadījumos, BackdoorDiplomacy ir vairāku platformu ļaunprātīgi rīki, kas var ietekmēt gan Windows, gan Linux sistēmas.

Darbības pēc inficēšanās

Kad upura tīklā ir konstatēts pārkāpuma punkts, BackdoorDiplomacy izmanto daudzus atvērtā pirmkoda rīkus izlūkošanai un sānu kustībai. Starp novērotajiem grupas izmantotajiem rīkiem ir EarthWorm — tīkla tunelis, Mimikatz , Nbtscan, NetCat — tīkla utilīta, kas spēj nolasīt un rakstīt datus tīkla savienojumos, PortQry, SMBTouch un vairāki rīki, kas tika nopludināti ShadowBrokers NSA datu izgāztuvē.

Galu galā grupa piegādā savu parakstu ļaunprātīgo instrumentu Turian Backdoor . Ļaunprātīgās programmatūras analīze atklāja, ka BackdoorDiplomacy izstrādāja Turian, pamatojoties uz aizmugures durvju draudu Quarian. Šīs agrākās aizmugures durvis tika vērstas pret līdzīgu mērķu kopumu virknē uzbrukumu, kas bija vērsti pret diplomātiskajām struktūrām, kas atrodas Sīrijā un ASV. Jāņem vērā, ka Backdoor Diplomacy arī atmet atsevišķu izpildāmo slodzi, kuras uzdevums ir noteikt visas noņemamās atmiņas ierīces, kas savienotas ar apdraudēto sistēmu. Pēc tam tas var kopēt to saturu un saglabāt tos galvenā diska atkritnē.

Savienojumi ar citiem draudu dalībniekiem

BackdoorDiplomacy zināmā mērā pārklājas ar citām kibernoziedznieku grupām no Āzijas reģiona. Piemēram, šifrēšanas protokols, ko izmanto Turians, ir gandrīz tāds pats kā tas, kas redzams Whitebird backdoor, draudu rīkā, kas tiek attiecināts uz Calypso grupu. Whitebird tika nodarbināts uzbrukumos pret Kazahstānas un Kirgizstānas diplomātiskajām organizācijām tajā pašā laika posmā, kad notika BackdoorDiplomacy operācijas. Var tikt konstatēta arī pārklāšanās starp BackdoorDiplomacy un citu grupu ar nosaukumu APT15, jo abas paļaujas uz tiem pašiem paņēmieniem un procedūrām, izvietojot attiecīgo aizmugures durvju lietderīgo slodzi – galvenokārt DLL meklēšanas pasūtījuma nolaupīšanu.