AchterdeurDiplomacy

BackdoorDiplomacy is een APT-groep (Advanced Persistent Threat) die zich richt op het uitvoeren van aanvalsoperaties tegen diplomatieke doelen in Afrika, Europa, het Midden-Oosten en Azië. Tot de slachtoffers van de groep behoren ook de ministeries van Buitenlandse Zaken van verschillende Afrikaanse landen. Minder vaak is BackdoorDiplomacy betrokken geweest bij inbreukoperaties tegen telecommunicatiebedrijven en liefdadigheidsorganisaties.

De initiële infectievectoren die door BackdoorDiplomacy worden uitgebuit, omvatten het vinden van kwetsbare op internet blootgestelde systemen en applicaties op webservers. Er is waargenomen dat de hackers een F5 BIP-IP-kwetsbaarheid (CVE-2020-5902) misbruikten om een Linux-backdoor te laten vallen, terwijl ze bij een andere aanval een Microsoft Exchange-server misbruikten via een PowerShell-dropper die een goed gedocumenteerde webshell met de naam China Chopper afleverde. . Zoals deze gevallen duidelijk laten zien, heeft BackdoorDiplomacy platformonafhankelijke kwaadaardige tools die zowel Windows- als Linux-systemen kunnen beïnvloeden.

Activiteiten na infectie

Zodra een doorbraak in het netwerk van het slachtoffer is vastgesteld, gebruikt BackdoorDiplomacy een groot aantal open-sourcetools voor verkenning en zijwaartse beweging. Onder de waargenomen tools die door de groep worden gebruikt, zijn EarthWorm - een netwerktunnel, Mimikatz , Nbtscan, NetCat - netwerkhulpprogramma dat gegevens kan lezen en schrijven over netwerkverbindingen, PortQry, SMBTouch en verschillende tools die zijn gelekt in de ShadowBrokers NSA-gegevensdump.

Uiteindelijk levert de groep zijn kenmerkende kwaadaardige instrument genaamd Turian Backdoor . Analyse van de malware heeft uitgewezen dat BackdoorDiplomacy Turian heeft ontwikkeld op basis van een achterdeurbedreiging genaamd Quarian. Deze eerdere achterdeur werd ingezet tegen een vergelijkbare reeks doelen in een reeks aanvallen die waren gericht op diplomatieke entiteiten in Syrië en de Verenigde Staten. Opgemerkt moet worden dat Backdoor Diplomacy ook een afzonderlijke uitvoerbare lading laat vallen die is belast met het detecteren van verwijderbare opslagapparaten die zijn aangesloten op het gecompromitteerde systeem. Het kan dan hun inhoud kopiëren en opslaan in de prullenbak van de hoofdschijf.

Verbindingen met andere bedreigingsactoren

BackdoorDiplomacy vertoont bepaalde overlappingen met andere cybercriminele groepen uit de Aziatische regio. Het coderingsprotocol dat Turian gebruikt, is bijvoorbeeld bijna hetzelfde als dat in de Whitebird-achterdeur, een bedreigend hulpmiddel dat wordt toegeschreven aan de Calypso-groep. Whitebird werd ingezet bij aanvallen op diplomatieke organisaties uit Kazachstan en Kirgizië in dezelfde periode als de BackdoorDiplomacy-operaties. Er kan ook een overlap worden vastgesteld tussen BackdoorDiplomacy en een andere groep genaamd APT15, aangezien beide op dezelfde technieken en procedures vertrouwen bij het inzetten van hun respectievelijke backdoor-payloads - voornamelijk het kapen van de DLL-zoekopdracht.