БэкдорДипломатия

BackdoorDiplomacy - это группа APT (Advanced Persistent Threat), специализирующаяся на проведении атак на дипломатические цели в Африке, Европе, на Ближнем Востоке и в Азии. Среди жертв группировки также министерства иностранных дел ряда африканских стран. Реже BackdoorDiplomacy участвовала в операциях по взломам телекоммуникационных компаний и благотворительных организаций.

Первоначальные векторы заражения, используемые BackdoorDiplomacy, включают обнаружение уязвимых систем и приложений на веб-серверах, доступных в Интернете. Было замечено, что хакеры использовали уязвимость F5 BIP-IP (CVE-2020-5902), чтобы сбросить бэкдор Linux, в то время как в другой атаке они злоупотребляли сервером Microsoft Exchange через дроппер PowerShell, который доставлял хорошо документированную веб-оболочку под названием China Chopper. . Как ясно показывают эти примеры, BackdoorDiplomacy имеет кроссплатформенные вредоносные инструменты, которые могут повлиять на системы как Windows, так и Linux.

Постинфекционные мероприятия

Как только точка взлома в сети жертвы установлена, BackdoorDiplomacy использует множество инструментов с открытым исходным кодом для разведки и бокового движения. Среди наблюдаемых инструментов, используемых группой, являются EarthWorm - сетевой туннель, Mimikatz , Nbtscan, NetCat - сетевая утилита, способная читать и записывать данные через сетевые соединения, PortQry, SMBTouch и несколько инструментов, которые были пропущены в дампе данных ShadowBrokers NSA.

В конечном итоге группа поставляет свой фирменный вредоносный инструмент под названием Turian Backdoor . Анализ вредоносного ПО показал, что BackdoorDiplomacy разработала Turian на основе бэкдорной угрозы Quarian. Этот более ранний бэкдор использовался против аналогичного набора целей в серии атак, нацеленных на дипломатические учреждения, расположенные в Сирии и США. Следует отметить, что Backdoor Diplomacy также удаляет отдельную исполняемую полезную нагрузку, которой поручено обнаруживать любые съемные устройства хранения, подключенные к скомпрометированной системе. Затем он может скопировать их содержимое и сохранить в корзине основного диска.

Связь с другими участниками угроз

BackdoorDiplomacy имеет определенные совпадения с другими киберпреступными группировками из азиатского региона. Например, протокол шифрования, который использует Turian, почти такой же, как в бэкдоре Whitebird, угрожающем инструменте, приписываемом группе Calypso. Whitebird использовался в атаках на дипломатические организации из Казахстана и Кыргызстана в то же время, что и операции BackdoorDiplomacy. Также может быть установлено совпадение между BackdoorDiplomacy и другой группой с именем APT15, поскольку обе они полагаются на одни и те же методы и процедуры при развертывании соответствующих полезных нагрузок бэкдора - в основном, захват порядка поиска DLL.