Bakdørsdiplomati

BackdoorDiplomacy er en APT-gruppe (Advanced Persistent Threat) som fokuserer på å utføre angrepsoperasjoner mot diplomatiske mål i Afrika, Europa, Midtøsten og Asia. Ofrene for gruppen inkluderer også utenriksdepartementene i flere afrikanske land. Sjeldnere har BackdoorDiplomacy vært involvert i bruddoperasjoner mot telekommunikasjonsselskaper og veldedige organisasjoner.

De første infeksjonsvektorene som utnyttes av BackdoorDiplomacy inkluderer å finne sårbare internetteksponerte systemer og applikasjoner på webservere. Hackerne har blitt observert å utnytte en F5 BIP-IP-sårbarhet (CVE-2020-5902) for å slippe en Linux-bakdør mens de i et annet angrep misbrukte en Microsoft Exchange-server gjennom en PowerShell-dropper som leverte et godt dokumentert web-skall kalt China Chopper . Som disse tilfellene tydelig viser, har BackdoorDiplomacy skadelige verktøy på tvers av plattformer som kan påvirke både Windows- og Linux-systemer.

Aktiviteter etter infeksjon

Når et bruddpunkt i offerets nettverk er etablert, bruker BackdoorDiplomacy en mengde åpen kildekode-verktøy for rekognosering og sideveis bevegelse. Blant de observerte verktøyene som brukes av gruppen er EarthWorm - en nettverkstunnel, Mimikatz , Nbtscan, NetCat - nettverksverktøy som kan lese og skrive data på tvers av nettverksforbindelser, PortQry, SMBTouch og flere verktøy som ble lekket i ShadowBrokers NSA-datadumpen.

Til syvende og sist leverer gruppen sitt ondsinnede signaturinstrument kalt Turian Backdoor . Analyse av skadevaren har avslørt at BackdoorDiplomacy utviklet Turian basert på en bakdørstrussel kalt Quarian. Denne tidligere bakdøren ble utnyttet mot et lignende sett med mål i en serie angrep som var rettet mot diplomatiske enheter lokalisert i Syria og USA. Det skal bemerkes at Backdoor Diplomacy også slipper en egen kjørbar nyttelast som har til oppgave å oppdage eventuelle flyttbare lagringsenheter koblet til det kompromitterte systemet. Den kan deretter kopiere innholdet og lagre det i hovedstasjonens papirkurv.

Forbindelser til andre trusselaktører

BackdoorDiplomacy viser visse overlappinger med andre nettkriminelle grupper fra den asiatiske regionen. For eksempel er krypteringsprotokollen som Turian bruker nesten den samme som den man ser i Whitebird-bakdøren, et truende verktøy som tilskrives Calypso-gruppen. Whitebird ble ansatt i angrep mot diplomatiske organisasjoner fra Kasakhstan og Kirgisistan i samme tidsramme som BackdoorDiplomacy-operasjonene. En overlapping kan også etableres mellom BackdoorDiplomacy og en annen gruppe ved navn APT15, da begge er avhengige av de samme teknikkene og prosedyrene når de distribuerer sine respektive bakdørs nyttelaster - hovedsakelig DLL-søkeordrekapring.