Backdoor Diplomacy

Backdoor Diplomacy Descriere

BackdoorDiplomacy este un grup APT (Advanced Persistent Threat) axat pe efectuarea de operațiuni de atac împotriva țintelor diplomatice din Africa, Europa, Orientul Mijlociu și Asia. Printre victimele grupului se numără și Ministerele Afacerilor Externe din mai multe țări africane. Mai rar, BackdoorDiplomacy a fost implicată în operațiuni de încălcare împotriva companiilor de telecomunicații și a organizațiilor caritabile.

Vectorii de infecție inițiali exploatați de BackdoorDiplomacy includ găsirea de sisteme și aplicații vulnerabile expuse la internet pe serverele Web. S-a observat că hackerii exploatează o vulnerabilitate F5 BIP-IP (CVE-2020-5902) pentru a arunca o ușă din spate Linux, în timp ce într-un alt atac au abuzat de un server Microsoft Exchange printr-un dropper PowerShell care a livrat un shell Web bine documentat numit China Chopper. . După cum arată în mod clar aceste cazuri, BackdoorDiplomacy are instrumente rău intenționate pe mai multe platforme care pot afecta atât sistemele Windows, cât și Linux.

Activități post-infecție

Odată ce un punct de breșă în rețeaua victimei a fost stabilit, BackdoorDiplomacy folosește o multitudine de instrumente open-source pentru recunoaștere și mișcare laterală. Printre instrumentele observate utilizate de grup se numără EarthWorm - un tunel de rețea, Mimikatz , Nbtscan, NetCat - utilitar de rețea capabil să citească și să scrie date prin conexiunile de rețea, PortQry, SMBTouch și mai multe instrumente care au fost scurse în depozitul de date ShadowBrokers NSA.

În cele din urmă, grupul oferă instrumentul său rău intenționat, numit Turian Backdoor . Analiza malware-ului a arătat că BackdoorDiplomacy a dezvoltat Turian pe baza unei amenințări de tip backdoor numit Quarian. Această ușă din spate anterioară a fost folosită împotriva unui set similar de ținte într-o serie de atacuri care vizau entități diplomatice situate în Siria și Statele Unite. Trebuie remarcat faptul că Backdoor Diplomacy elimină și o sarcină utilă executabilă separată, însărcinată cu detectarea oricăror dispozitive de stocare amovibile conectate la sistemul compromis. Apoi le poate copia conținutul și le poate stoca în coșul de reciclare al unității principale.

Conexiuni cu alți actori amenințători

BackdoorDiplomacy prezintă anumite suprapuneri cu alte grupuri de criminali cibernetici din regiunea asiatică. De exemplu, protocolul de criptare pe care îl folosește Turian este aproape același cu cel văzut în ușa din spate Whitebird, un instrument amenințător atribuit grupului Calypso. Whitebird a fost angajat în atacuri împotriva organizațiilor diplomatice din Kazahstan și Kârgâzstan în același interval de timp cu operațiunile BackdoorDiplomacy. De asemenea, se poate stabili o suprapunere între BackdoorDiplomacy și un alt grup numit APT15, deoarece ambii se bazează pe aceleași tehnici și proceduri atunci când își desfășoară sarcinile utile backdoor - în principal deturnarea ordinului de căutare DLL.