BackdoorDiplomacy

BackdoorDiplomacy Opis

BackdoorDiplomacy je skupina APT (Advanced Persistent Threat), ki se osredotoča na izvajanje napadov na diplomatske cilje v Afriki, Evropi, na Bližnjem vzhodu in v Aziji. Med žrtvami skupine so tudi ministrstva za zunanje zadeve več afriških držav. Manj pogosto je bil BackdoorDiplomacy vpleten v operacije kršitev proti telekomunikacijskim podjetjem in dobrodelnim organizacijam.

Začetni vektorji okužbe, ki jih izkorišča BackdoorDiplomacy, vključujejo iskanje ranljivih internetno izpostavljenih sistemov in aplikacij na spletnih strežnikih. Opazili so, da so hekerji izkoriščali ranljivost F5 BIP-IP (CVE-2020-5902) za odstranitev zalednih vrat Linuxa, medtem ko so v drugem napadu zlorabili strežnik Microsoft Exchange prek kapalnika PowerShell, ki je dostavil dobro dokumentirano spletno lupino z imenom China Chopper. . Kot ti primeri jasno kažejo, ima BackdoorDiplomacy zlonamerna orodja za več platform, ki lahko vplivajo na sisteme Windows in Linux.

Dejavnosti po okužbi

Ko je bila vzpostavljena točka vdora v omrežje žrtve, BackdoorDiplomacy uporablja množico odprtokodnih orodij za izvidništvo in bočno gibanje. Med opazovanimi orodij, ki jih je skupina, ki se uporabljajo, so deževnik - predor omrežja, Mimikatz , NBTScan, netcat - povezovanje pripomoček, ki lahko branje in pisanje podatkov med omrežnih povezav, PortQry, SMBTouch in več orodij, ki so pricurljali v ShadowBrokers podatkov smetišče NSA.

Končno skupina dostavi svoj značilni zlonamerni instrument z imenom Turian Backdoor . Analiza zlonamerne programske opreme je pokazala, da je BackdoorDiplomacy razvil Turian na podlagi grožnje v zakulisju z imenom Quarian. Ta prejšnja zaledna vrata je bila uporabljena proti podobnemu nizu tarč v seriji napadov, ki so bili usmerjeni na diplomatske subjekte v Siriji in Združenih državah. Opozoriti je treba, da Backdoor Diplomacy prav tako izpusti ločeno izvedljivo koristno obremenitev, ki ima nalogo zaznati vse odstranljive naprave za shranjevanje, povezane z ogroženim sistemom. Nato lahko kopira njihovo vsebino in jo shrani v koš glavnega pogona.

Povezave z drugimi akterji grožnje

BackdoorDiplomacy kaže določena prekrivanja z drugimi kiberkriminalnimi skupinami iz azijske regije. Na primer, šifrirni protokol, ki ga uporablja Turian, je skoraj enak tistemu, ki ga vidimo v backdoorju Whitebird, grozečem orodju, ki ga pripisujejo skupini Calypso. Whitebird je bil zaposlen pri napadih na diplomatske organizacije iz Kazahstana in Kirgizistana v istem časovnem obdobju kot operacije BackdoorDiplomacy. Prav tako je mogoče vzpostaviti prekrivanje med BackdoorDiplomacy in drugo skupino z imenom APT15, saj se obe zanašata na iste tehnike in postopke pri uvajanju svojih zalednih obremenitev – predvsem na ugrabitev vrstnega reda iskanja DLL.