Turian Backdoor

O Turian Backdoor é uma nova ameaça personalizada, empregada em ataques por um grupo de hackers até então desconhecido. Este novo autor de ameaças estabelecido na cena de cybergangs foi apelidado de BackdoorDiplamacy e acredita-se que esteja ativo desde pelo menos 2017. A configuração e a infraestrutura das operações ameaçadoras do grupo apontam para que seja uma APT (Ameaça Persistente Avançada) patrocinada pelo estado. O conjunto altamente localizado de vítimas também apóia essa conjectura.

Até agora, o BackdoorDiplomacy realizou ataques contra instituições governamentais, tais como os Ministérios das Relações Exteriores de vários países africanos, bem como da Europa, Oriente Médio e Ásia. O grupo também violou várias empresas de telecomunicações que operam na África e pelo menos uma organização de caridade do Oriente Médio.

Quanto ao Turian Backdoor, ele é apenas um dos inúmeros instrumentos de ameaça que compõem o kit de malware do BackdoorDiplomacy. A análise inicial revela que a ameaça foi desenvolvida com base no Quarian backdoor, uma ferramenta de malware que foi aproveitada contra alvos diplomáticos em uma série de ataques em 2013. O Turian Backdoor também é essencial para exfiltrar qualquer informação desviada dos sistemas comprometidos. Afinal, o principal objetivo dos hackers do BackdoorDiplomacy é coletar dados dos seus alvos. Como tal, a carga útil principal entregue às vítimas infectadas é capaz de coletar e enviar dados do sistema, fazer capturas de tela arbitrárias, bem como manipular o sistema de arquivos (mover, excluir, criar e coletar arquivos).

As informações armazenadas nas mídias removíveis, tais como drives flash, também estão ameaçadas. Os arquivos armazenados lá serão copiados e montados em um arquivo protegido por senha que é então carregado para o servidor de Comando e Controle pelo Turian Backdoor.