BackdoorDiplomacy

Descrição do BackdoorDiplomacy

O BackdoorDiplomacy é um grupo APT (Advanced Persistent Threat) focado na realização de operações de ataque contra alvos diplomáticos na África, Europa, Oriente Médio e Ásia. As vítimas do grupo incluem também os Ministérios das Relações Exteriores de vários países africanos. Com menos frequência, a BackdoorDiplomacy esteve envolvida em operações de violação contra empresas de telecomunicações e organizações de caridade.

Os vetores de infecção iniciais explorados pelo BackdoorDiplomacy incluem a localização de sistemas e aplicativos vulneráveis expostos à Internet em servidores da web. Observou-se que os hackers exploraram uma vulnerabilidade F5 BIP-IP (CVE-2020-5902) para derrubar um backdoor do Linux enquanto em outro ataque eles abusaram de um servidor Microsoft Exchange através de um dropper PowerShell que entregou um shell da Web bem documentado chamado China Chopper. Como essas instâncias mostram claramente, o BackdoorDiplomacy tem ferramentas maliciosas de plataforma cruzada que podem afetar os sistemas Windows e Linux.

Atividades Pós-Infecção

Depois que um ponto de violação na rede da vítima é estabelecido, o BackdoorDiplomacy usa uma variedade de ferramentas de código aberto para reconhecimento e movimento lateral. Entre as ferramentas observadas usadas pelo grupo estão EarthWorm - um túnel de rede, Mimikatz, Nbtscan, NetCat - utilitário de rede capaz de ler e gravar dados em conexões de rede, PortQry, SMBTouch e várias ferramentas que vazaram no dump de dados ShadowBrokers NSA.

No final das contas, o grupo fornece seu instrumento malicioso exclusivo chamado Turian Backdoor . A análise do malware revelou que o BackdoorDiplomacy desenvolveu o Turian com base em uma ameaça de backdoor chamada Quarian. Essa porta dos fundos anterior foi alavancada contra um conjunto semelhante de alvos em uma série de ataques que visavam entidades diplomáticas localizadas na Síria e nos Estados Unidos. Deve-se observar que o Backdoor Diplomacy também descarta uma carga executável separada com a tarefa de detectar qualquer dispositivo de armazenamento removível conectado ao sistema comprometido. Ele pode então copiar seu conteúdo e armazená-lo na lixeira da unidade principal.

Conexões com Outros Autores de Ameaça

BackdoorDiplomacy exibe certas sobreposições com outros grupos cibercriminosos da região asiática. Por exemplo, o protocolo de criptografia que Turian usa é quase o mesmo visto na porta dos fundos do Whitebird, uma ferramenta ameaçadora atribuída ao grupo Calypso. Whitebird foi empregado em ataques contra organizações diplomáticas do Cazaquistão e do Quirguistão durante o mesmo período das operações da BackdoorDiplomacy. Uma sobreposição também pode ser estabelecida entre BackdoorDiplomacy e outro grupo chamado APT15, pois ambos contam com as mesmas técnicas e procedimentos ao implantar suas respectivas cargas de backdoor - principalmente o sequestro de ordem de pesquisa de DLL.