Diplomasi Pintu Belakang

BackdoorDiplomacy ialah kumpulan APT (Advanced Persistent Threat) yang memfokuskan pada menjalankan operasi serangan terhadap sasaran diplomatik di Afrika, Eropah, Timur Tengah dan Asia. Mangsa kumpulan itu juga termasuk Kementerian Luar Negeri beberapa negara Afrika. Kurang kerap, BackdoorDiplomacy telah terlibat dalam operasi pelanggaran terhadap syarikat telekomunikasi dan organisasi amal.

Vektor jangkitan awal yang dieksploitasi oleh BackdoorDiplomacy termasuk mencari sistem dan aplikasi terdedah internet yang terdedah pada pelayan Web. Penggodam telah diperhatikan untuk mengeksploitasi kerentanan F5 BIP-IP (CVE-2020-5902) untuk menjatuhkan pintu belakang Linux manakala dalam serangan lain mereka menyalahgunakan pelayan Microsoft Exchange melalui penitis PowerShell yang menyampaikan shell Web dokumen yang baik bernama China Chopper . Seperti yang ditunjukkan dengan jelas oleh contoh ini, BackdoorDiplomacy mempunyai alat berniat jahat merentas platform yang boleh menjejaskan kedua-dua sistem Windows dan Linux.

Aktiviti Selepas Jangkitan

Sebaik sahaja titik pelanggaran ke dalam rangkaian mangsa telah diwujudkan, BackdoorDiplomacy menggunakan pelbagai alat sumber terbuka untuk peninjauan dan pergerakan sisi. Antara alat yang diperhatikan yang digunakan oleh kumpulan itu ialah EarthWorm - terowong rangkaian, Mimikatz , Nbtscan, NetCat - utiliti rangkaian yang mampu membaca dan menulis data merentasi sambungan rangkaian, PortQry, SMBTouch dan beberapa alatan yang dibocorkan dalam pembuangan data ShadowBrokers NSA.

Akhirnya, kumpulan itu menyampaikan instrumen berniat jahat yang terkenal bernama Turian Backdoor . Analisis perisian hasad telah mendedahkan bahawa BackdoorDiplomacy membangunkan Turian berdasarkan ancaman pintu belakang bernama Quarian. Pintu belakang awal ini telah dimanfaatkan terhadap set sasaran yang sama dalam siri serangan yang ditujukan kepada entiti diplomatik yang terletak di Syria dan Amerika Syarikat. Perlu diingat bahawa Diplomasi Pintu Belakang juga menurunkan muatan boleh laku yang berasingan yang ditugaskan untuk mengesan sebarang peranti storan boleh alih yang disambungkan ke sistem yang terjejas. Ia kemudiannya boleh menyalin kandungannya dan menyimpannya dalam tong kitar semula pemacu utama.

Sambungan kepada Pelakon Ancaman Lain

BackdoorDiplomacy mempamerkan pertindihan tertentu dengan kumpulan penjenayah siber lain dari rantau Asia. Sebagai contoh, protokol penyulitan yang digunakan Turian adalah hampir sama dengan yang dilihat di pintu belakang Whitebird, alat mengancam yang dikaitkan dengan kumpulan Calypso. Whitebird telah digunakan dalam serangan terhadap organisasi diplomatik dari Kazakhstan dan Kyrgyzstan dalam tempoh masa yang sama dengan operasi BackdoorDiplomacy. Pertindihan juga boleh diwujudkan antara BackdoorDiplomacy dan kumpulan lain bernama APT15 kerana kedua-duanya bergantung pada teknik dan prosedur yang sama apabila menggunakan muatan pintu belakang masing-masing - terutamanya rampasan pesanan carian DLL.