BackdoorDyplomacja

BackdoorDiplomacy to grupa APT (Advanced Persistent Threat) skoncentrowana na przeprowadzaniu operacji ataku na cele dyplomatyczne w Afryce, Europie, na Bliskim Wschodzie iw Azji. Ofiarami grupy są także Ministerstwa Spraw Zagranicznych kilku krajów afrykańskich. Rzadziej BackdoorDiplomacy brał udział w operacjach włamań przeciwko firmom telekomunikacyjnym i organizacjom charytatywnym.

Początkowe wektory infekcji wykorzystywane przez BackdoorDiplomacy obejmują znajdowanie na serwerach WWW podatnych na ataki systemów i aplikacji narażonych na działanie Internetu. Zaobserwowano, że hakerzy wykorzystują lukę F5 BIP-IP (CVE-2020-5902) w celu zrzucenia backdoora dla systemu Linux, podczas gdy podczas innego ataku nadużywali serwera Microsoft Exchange za pomocą droppera PowerShell, który dostarczał dobrze udokumentowaną powłokę internetową o nazwie China Chopper . Jak wyraźnie pokazują te instancje, BackdoorDiplomacy ma wieloplatformowe złośliwe narzędzia, które mogą wpływać zarówno na systemy Windows, jak i Linux.

Działania po infekcji

Po ustaleniu punktu włamania do sieci ofiary BackdoorDiplomacy wykorzystuje wiele narzędzi typu open source do rozpoznania i ruchu bocznego. Wśród zaobserwowanych narzędzi wykorzystywanych przez grupę są EarthWorm – tunel sieciowy, Mimikatz , Nbtscan, NetCat – narzędzie sieciowe zdolne do odczytywania i zapisywania danych przez połączenia sieciowe, PortQry, SMBTouch i kilka narzędzi, które wyciekły ze zrzutu danych ShadowBrokers NSA.

Ostatecznie grupa dostarcza swój sygnowany złośliwy instrument o nazwie Turian Backdoor . Analiza szkodliwego oprogramowania wykazała, że BackdoorDiplomacy opracował Turian w oparciu o zagrożenie typu backdoor o nazwie Quarian. Ten wcześniejszy backdoor został wykorzystany przeciwko podobnemu zestawowi celów w serii ataków wymierzonych w podmioty dyplomatyczne zlokalizowane w Syrii i Stanach Zjednoczonych. Należy zauważyć, że Backdoor Diplomacy usuwa również osobny plik wykonywalny, którego zadaniem jest wykrywanie wszelkich wymiennych urządzeń pamięci masowej podłączonych do zaatakowanego systemu. Następnie może skopiować ich zawartość i przechowywać je w koszu głównego dysku.

Powiązania z innymi podmiotami stwarzającymi zagrożenie

BackdoorDiplomacy wykazuje pewne podobieństwa z innymi grupami cyberprzestępczymi z regionu azjatyckiego. Na przykład protokół szyfrowania, z którego korzysta Turian, jest prawie taki sam, jak ten widoczny w backdoorze Whitebird, groźnym narzędziu przypisywanym grupie Calypso. Whitebird był wykorzystywany do ataków na organizacje dyplomatyczne z Kazachstanu i Kirgistanu w tym samym czasie, co operacje BackdoorDiplomacy. Można również ustalić nakładanie się BackdoorDiplomacy i innej grupy o nazwie APT15, ponieważ obie te grupy opierają się na tych samych technikach i procedurach podczas wdrażania odpowiednich ładunków backdoora — głównie w celu przejęcia kontroli nad kolejnością wyszukiwania DLL.