ਬੈਕਡੋਰ ਡਿਪਲੋਮੇਸੀ
ਬੈਕਡੋਰ ਡਿਪਲੋਮੇਸੀ ਇੱਕ ਏਪੀਟੀ (ਐਡਵਾਂਸਡ ਪਰਸਿਸਟੈਂਟ ਥ੍ਰੀਟ) ਸਮੂਹ ਹੈ ਜੋ ਅਫਰੀਕਾ, ਯੂਰਪ, ਮੱਧ ਪੂਰਬ ਅਤੇ ਏਸ਼ੀਆ ਵਿੱਚ ਕੂਟਨੀਤਕ ਟੀਚਿਆਂ ਦੇ ਵਿਰੁੱਧ ਹਮਲੇ ਦੀਆਂ ਕਾਰਵਾਈਆਂ ਕਰਨ 'ਤੇ ਕੇਂਦ੍ਰਿਤ ਹੈ। ਸਮੂਹ ਦੇ ਪੀੜਤਾਂ ਵਿੱਚ ਕਈ ਅਫਰੀਕੀ ਦੇਸ਼ਾਂ ਦੇ ਵਿਦੇਸ਼ ਮੰਤਰਾਲੇ ਦੇ ਅਧਿਕਾਰੀ ਵੀ ਸ਼ਾਮਲ ਹਨ। ਘੱਟ ਵਾਰ, ਬੈਕਡੋਰ ਡਿਪਲੋਮੇਸੀ ਦੂਰਸੰਚਾਰ ਕੰਪਨੀਆਂ ਅਤੇ ਚੈਰੀਟੇਬਲ ਸੰਸਥਾਵਾਂ ਦੇ ਵਿਰੁੱਧ ਉਲੰਘਣਾ ਦੀਆਂ ਕਾਰਵਾਈਆਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹੁੰਦੀ ਹੈ।
ਬੈਕਡੋਰ ਡਿਪਲੋਮੇਸੀ ਦੁਆਰਾ ਸ਼ੋਸ਼ਣ ਕੀਤੇ ਗਏ ਸ਼ੁਰੂਆਤੀ ਸੰਕਰਮਣ ਵੈਕਟਰਾਂ ਵਿੱਚ ਵੈੱਬ ਸਰਵਰਾਂ 'ਤੇ ਕਮਜ਼ੋਰ ਇੰਟਰਨੈਟ-ਪ੍ਰਗਟਾਵੇ ਸਿਸਟਮ ਅਤੇ ਐਪਲੀਕੇਸ਼ਨਾਂ ਨੂੰ ਲੱਭਣਾ ਸ਼ਾਮਲ ਹੈ। ਹੈਕਰਾਂ ਨੂੰ ਇੱਕ ਲੀਨਕਸ ਬੈਕਡੋਰ ਸੁੱਟਣ ਲਈ ਇੱਕ F5 BIP-IP ਕਮਜ਼ੋਰੀ (CVE-2020-5902) ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦੇ ਦੇਖਿਆ ਗਿਆ ਹੈ ਜਦੋਂ ਕਿ ਇੱਕ ਹੋਰ ਹਮਲੇ ਵਿੱਚ ਉਹਨਾਂ ਨੇ ਇੱਕ PowerShell ਡਰਾਪਰ ਦੁਆਰਾ ਮਾਈਕ੍ਰੋਸਾਫਟ ਐਕਸਚੇਂਜ ਸਰਵਰ ਦੀ ਦੁਰਵਰਤੋਂ ਕੀਤੀ ਜਿਸਨੇ ਚਾਈਨਾ ਚੋਪਰ ਨਾਮਕ ਇੱਕ ਵਧੀਆ ਦਸਤਾਵੇਜ਼ ਵੈੱਬ ਸ਼ੈੱਲ ਪ੍ਰਦਾਨ ਕੀਤਾ. . ਜਿਵੇਂ ਕਿ ਇਹ ਉਦਾਹਰਣਾਂ ਸਪਸ਼ਟ ਤੌਰ 'ਤੇ ਦਰਸਾਉਂਦੀਆਂ ਹਨ, ਬੈਕਡੋਰ ਡਿਪਲੋਮੇਸੀ ਵਿੱਚ ਕ੍ਰਾਸ-ਪਲੇਟਫਾਰਮ ਖਤਰਨਾਕ ਟੂਲ ਹਨ ਜੋ ਵਿੰਡੋਜ਼ ਅਤੇ ਲੀਨਕਸ ਦੋਵਾਂ ਸਿਸਟਮਾਂ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕਰ ਸਕਦੇ ਹਨ।
ਲਾਗ ਤੋਂ ਬਾਅਦ ਦੀਆਂ ਗਤੀਵਿਧੀਆਂ
ਇੱਕ ਵਾਰ ਜਦੋਂ ਪੀੜਤ ਦੇ ਨੈਟਵਰਕ ਵਿੱਚ ਇੱਕ ਉਲੰਘਣਾ ਪੁਆਇੰਟ ਸਥਾਪਤ ਹੋ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਬੈਕਡੋਰ ਡਿਪਲੋਮੇਸੀ ਖੋਜ ਅਤੇ ਪਾਸੇ ਦੀ ਗਤੀ ਲਈ ਬਹੁਤ ਸਾਰੇ ਓਪਨ-ਸਰੋਤ ਸਾਧਨਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੀ ਹੈ। ਸਮੂਹ ਦੁਆਰਾ ਵਰਤੇ ਗਏ ਨਿਰੀਖਣ ਕੀਤੇ ਸਾਧਨਾਂ ਵਿੱਚ ਅਰਥਵਰਮ - ਇੱਕ ਨੈੱਟਵਰਕ ਸੁਰੰਗ, Mimikatz , Nbtscan, NetCat - ਨੈੱਟਵਰਕਿੰਗ ਉਪਯੋਗਤਾ ਜੋ ਨੈੱਟਵਰਕ ਕਨੈਕਸ਼ਨਾਂ, PortQry, SMBTouch, ਅਤੇ ਕਈ ਟੂਲ ਹਨ ਜੋ ਸ਼ੈਡੋਬ੍ਰੋਕਰਸ NSA ਡੇਟਾ ਡੰਪ ਵਿੱਚ ਲੀਕ ਕੀਤੇ ਗਏ ਸਨ।
ਆਖਰਕਾਰ, ਸਮੂਹ ਟੂਰਿਅਨ ਬੈਕਡੋਰ ਨਾਮਕ ਆਪਣਾ ਹਸਤਾਖਰਿਤ ਖਤਰਨਾਕ ਸਾਧਨ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ। ਮਾਲਵੇਅਰ ਦੇ ਵਿਸ਼ਲੇਸ਼ਣ ਤੋਂ ਪਤਾ ਚੱਲਿਆ ਹੈ ਕਿ ਬੈਕਡੋਰ ਡਿਪਲੋਮੇਸੀ ਨੇ ਕੁਆਰੀਅਨ ਨਾਮਕ ਬੈਕਡੋਰ ਖ਼ਤਰੇ ਦੇ ਅਧਾਰ 'ਤੇ ਟੂਰਿਅਨ ਦਾ ਵਿਕਾਸ ਕੀਤਾ ਹੈ। ਇਸ ਪਹਿਲਾਂ ਦੇ ਪਿਛਲੇ ਦਰਵਾਜ਼ੇ ਨੂੰ ਸੀਰੀਆ ਅਤੇ ਸੰਯੁਕਤ ਰਾਜ ਵਿੱਚ ਸਥਿਤ ਕੂਟਨੀਤਕ ਸੰਸਥਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੇ ਹਮਲਿਆਂ ਦੀ ਇੱਕ ਲੜੀ ਵਿੱਚ ਇੱਕੋ ਜਿਹੇ ਟੀਚਿਆਂ ਦੇ ਵਿਰੁੱਧ ਵਰਤਿਆ ਗਿਆ ਸੀ। ਇਹ ਨੋਟ ਕੀਤਾ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ ਕਿ ਬੈਕਡੋਰ ਡਿਪਲੋਮੇਸੀ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮ ਨਾਲ ਜੁੜੇ ਕਿਸੇ ਵੀ ਹਟਾਉਣਯੋਗ ਸਟੋਰੇਜ ਡਿਵਾਈਸਾਂ ਦਾ ਪਤਾ ਲਗਾਉਣ ਲਈ ਇੱਕ ਵੱਖਰੇ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਪੇਲੋਡ ਨੂੰ ਵੀ ਛੱਡਦੀ ਹੈ। ਇਹ ਫਿਰ ਉਹਨਾਂ ਦੀ ਸਮੱਗਰੀ ਨੂੰ ਕਾਪੀ ਕਰ ਸਕਦਾ ਹੈ ਅਤੇ ਉਹਨਾਂ ਨੂੰ ਮੁੱਖ ਡਰਾਈਵ ਦੇ ਰੀਸਾਈਕਲ ਬਿਨ ਵਿੱਚ ਸਟੋਰ ਕਰ ਸਕਦਾ ਹੈ।
ਹੋਰ ਧਮਕੀ ਅਦਾਕਾਰਾਂ ਨਾਲ ਕਨੈਕਸ਼ਨ
ਬੈਕਡੋਰ ਡਿਪਲੋਮੇਸੀ ਏਸ਼ੀਆਈ ਖੇਤਰ ਦੇ ਹੋਰ ਸਾਈਬਰ ਅਪਰਾਧੀ ਸਮੂਹਾਂ ਦੇ ਨਾਲ ਕੁਝ ਓਵਰਲੈਪਾਂ ਨੂੰ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਦੀ ਹੈ। ਉਦਾਹਰਨ ਲਈ, ਟੂਰਿਅਨ ਜੋ ਐਨਕ੍ਰਿਪਸ਼ਨ ਪ੍ਰੋਟੋਕੋਲ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ ਉਹ ਲਗਭਗ ਉਸੇ ਤਰ੍ਹਾਂ ਦਾ ਹੈ ਜੋ ਕਿ ਵਾਈਟਬਰਡ ਬੈਕਡੋਰ ਵਿੱਚ ਦੇਖਿਆ ਗਿਆ ਹੈ, ਇੱਕ ਧਮਕੀ ਦੇਣ ਵਾਲਾ ਟੂਲ ਕੈਲਿਪਸੋ ਸਮੂਹ ਨੂੰ ਦਿੱਤਾ ਗਿਆ ਹੈ। ਵ੍ਹਾਈਟਬਰਡ ਨੂੰ ਬੈਕਡੋਰ ਡਿਪਲੋਮੇਸੀ ਓਪਰੇਸ਼ਨਾਂ ਦੇ ਸਮਾਨ ਸਮਾਂ ਸੀਮਾ ਦੇ ਦੌਰਾਨ ਕਜ਼ਾਕਿਸਤਾਨ ਅਤੇ ਕਿਰਗਿਜ਼ਸਤਾਨ ਦੀਆਂ ਕੂਟਨੀਤਕ ਸੰਸਥਾਵਾਂ ਦੇ ਵਿਰੁੱਧ ਹਮਲਿਆਂ ਵਿੱਚ ਨਿਯੁਕਤ ਕੀਤਾ ਗਿਆ ਸੀ। ਬੈਕਡੋਰ ਡਿਪਲੋਮੇਸੀ ਅਤੇ APT15 ਨਾਮਕ ਇੱਕ ਹੋਰ ਸਮੂਹ ਦੇ ਵਿਚਕਾਰ ਇੱਕ ਓਵਰਲੈਪ ਵੀ ਸਥਾਪਿਤ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ ਕਿਉਂਕਿ ਦੋਵੇਂ ਆਪਣੇ ਸਬੰਧਿਤ ਬੈਕਡੋਰ ਪੇਲੋਡਾਂ ਨੂੰ ਤੈਨਾਤ ਕਰਦੇ ਸਮੇਂ ਇੱਕੋ ਤਕਨੀਕ ਅਤੇ ਪ੍ਰਕਿਰਿਆਵਾਂ 'ਤੇ ਨਿਰਭਰ ਕਰਦੇ ਹਨ - ਮੁੱਖ ਤੌਰ 'ਤੇ DLL ਖੋਜ ਆਰਡਰ ਹਾਈਜੈਕਿੰਗ।
