BackdoorDiplomacy

BackdoorDiplomacy Popis

BackdoorDiplomacy je skupina APT (Advanced Persistent Threat) zameraná na vykonávanie útočných operácií proti diplomatickým cieľom v Afrike, Európe, na Strednom východe a v Ázii. Medzi obeťami skupiny sú aj ministerstvá zahraničných vecí viacerých afrických krajín. Menej často sa BackdoorDiplomacy zapája do operácií proti telekomunikačným spoločnostiam a charitatívnym organizáciám.

Medzi počiatočné vektory infekcie, ktoré BackdoorDiplomacy využíva, patrí nájdenie zraniteľných systémov a aplikácií vystavených internetu na webových serveroch. Bolo pozorované, že hackeri zneužili zraniteľnosť F5 BIP-IP (CVE-2020-5902) na zrušenie zadného vrátka Linuxu, zatiaľ čo pri inom útoku zneužili server Microsoft Exchange prostredníctvom kvapkadla PowerShell, ktorý poskytol dobre dokumentovaný webový shell s názvom China Chopper. . Ako tieto prípady jasne ukazujú, BackdoorDiplomacy má škodlivé nástroje pre rôzne platformy, ktoré môžu ovplyvniť systémy Windows aj Linux.

Postinfekčné aktivity

Po vytvorení bodu narušenia siete obete BackdoorDiplomacy využíva množstvo nástrojov s otvoreným zdrojom na prieskum a pohyb do strán. Medzi pozorovanými nástrojmi, ktoré skupina používa, sú EarthWorm – sieťový tunel, Mimikatz , Nbtscan, NetCat – sieťová utilita schopná čítať a zapisovať údaje cez sieťové pripojenia, PortQry, SMBTouch a niekoľko nástrojov, ktoré unikli do výpisu údajov ShadowBrokers NSA.

Nakoniec skupina dodáva svoj charakteristický škodlivý nástroj s názvom Turian Backdoor . Analýza malvéru odhalila, že BackdoorDiplomacy vyvinul Turian na základe backdoorovej hrozby menom Quarian. Toto skoršie zadné vrátka bolo využité proti podobnému súboru cieľov v sérii útokov, ktoré boli zamerané na diplomatické subjekty nachádzajúce sa v Sýrii a Spojených štátoch. Treba poznamenať, že Backdoor Diplomacy tiež upustí od samostatného spustiteľného obsahu, ktorého úlohou je zisťovať akékoľvek vymeniteľné úložné zariadenia pripojené k napadnutému systému. Potom môže skopírovať ich obsah a uložiť ho do koša hlavného disku.

Spojenie s inými aktérmi hrozieb

BackdoorDiplomacy vykazuje určité presahy s inými kyberzločineckými skupinami z ázijského regiónu. Napríklad šifrovací protokol, ktorý Turian používa, je takmer rovnaký ako ten, ktorý vidíme v backdoor Whitebird, hrozivom nástroji pripisovanom skupine Calypso. Whitebird bol zamestnaný pri útokoch proti diplomatickým organizáciám z Kazachstanu a Kirgizska v rovnakom časovom období ako operácie BackdoorDiplomacy. Prekrývanie sa môže vytvoriť aj medzi BackdoorDiplomacy a inou skupinou s názvom APT15, pretože obe sa spoliehajú na rovnaké techniky a postupy pri nasadzovaní ich príslušných dátových vrátok backdoor – hlavne únos príkazu vyhľadávania DLL.