BackdoorDiplomacy
BackdoorDiplomacy është një grup APT (Advanced Persistent Threat) i fokusuar në kryerjen e operacioneve sulmuese kundër objektivave diplomatike në Afrikë, Evropë, Lindjen e Mesme dhe Azi. Viktimat e grupit përfshijnë edhe Ministritë e Jashtme të disa vendeve afrikane. Më rrallë, BackdoorDiplomacy është përfshirë në operacione të shkeljes kundër kompanive të telekomunikacionit dhe organizatave bamirëse.
Vektorët fillestarë të infeksionit të shfrytëzuar nga BackdoorDiplomacy përfshijnë gjetjen e sistemeve dhe aplikacioneve të cenueshme të ekspozuara ndaj internetit në serverët e uebit. Hakerët janë vërejtur se kanë shfrytëzuar një cenueshmëri F5 BIP-IP (CVE-2020-5902) për të hequr një derë të pasme Linux, ndërsa në një sulm tjetër ata abuzuan me një server Microsoft Exchange përmes një pikatore PowerShell që dërgoi një predhë të mirë-dokumentuar Web të quajtur China Chopper . Siç tregojnë qartë këto raste, BackdoorDiplomacy ka mjete me qëllim të keq ndër-platformë që mund të ndikojnë në sistemet Windows dhe Linux.
Aktivitetet pas infektimit
Pasi të jetë vendosur një pikë e thyerjes në rrjetin e viktimës, BackdoorDiplomacy përdor një mori mjetesh me burim të hapur për zbulimin dhe lëvizjen anësore. Ndër mjetet e vëzhguara të përdorura nga grupi janë EarthWorm - një tunel rrjeti, Mimikatz , Nbtscan, NetCat - program rrjeti i aftë për të lexuar dhe shkruar të dhëna në lidhjet e rrjetit, PortQry, SMBTouch dhe disa mjete që u zbuluan në deponimin e të dhënave ShadowBrokers NSA.
Në fund të fundit, grupi dorëzon instrumentin e tij me qëllim të keq të quajtur Turian Backdoor . Analiza e malware ka zbuluar se BackdoorDiplomacy e zhvilloi Turian bazuar në një kërcënim në prapavijë të quajtur Qarian. Kjo derë e pasme e mëparshme u përdor kundër një grupi të ngjashëm objektivash në një seri sulmesh që kishin për qëllim subjektet diplomatike të vendosura në Siri dhe Shtetet e Bashkuara. Duhet të theksohet se Backdoor Diplomacy lëshon gjithashtu një ngarkesë të veçantë të ekzekutueshme të ngarkuar me zbulimin e çdo pajisje ruajtëse të lëvizshme të lidhur me sistemin e komprometuar. Më pas mund të kopjojë përmbajtjen e tyre dhe t'i ruajë në koshin e riciklimit të diskut kryesor.
Lidhjet me aktorët e tjerë të kërcënimit
BackdoorDiplomacy shfaq disa mbivendosje me grupe të tjera kriminale kibernetike nga rajoni aziatik. Për shembull, protokolli i enkriptimit që përdor Turian është pothuajse i njëjtë me atë që shihet në prapavijën e Whitebird, një mjet kërcënues që i atribuohet grupit Calypso. Whitebird u përdor në sulme kundër organizatave diplomatike nga Kazakistani dhe Kirgistani gjatë të njëjtit hark kohor me operacionet e BackdoorDiplomacy. Mund të krijohet gjithashtu një mbivendosje midis BackdoorDiplomacy dhe një grupi tjetër të quajtur APT15 pasi që të dy mbështeten në të njëjtat teknika dhe procedura kur vendosin ngarkesat e tyre përkatëse në prapavijë - kryesisht rrëmbimi i urdhër kërkimit DLL.
