БацкдоорДипломаци
БацкдоорДипломаци је АПТ (Адванцед Персистент Тхреат) група фокусирана на извођење операција напада на дипломатске циљеве у Африци, Европи, Блиском истоку и Азији. Међу жртвама групе су и министарства спољних послова неколико афричких земаља. Ређе, БацкдоорДипломаци је био укључен у операције кршења против телекомуникационих компанија и добротворних организација.
Почетни вектори инфекције које користи БацкдоорДипломаци укључују проналажење рањивих система и апликација изложених интернету на веб серверима. Хакери су примећено да искористе Ф5 БИП-ИП рањивост (ЦВЕ-2020-5902) да испусте Линук бацкдоор док су у другом нападу злоупотребили Мицрософт Екцханге сервер преко ПоверСхелл дроппера који је испоручио веб шкољку са добрим документима под називом Цхина Цхоппер . Као што ови случајеви јасно показују, БацкдоорДипломаци има злонамерне алате на више платформи које могу утицати и на Виндовс и на Линук системе.
Активности након инфекције
Једном када се успостави тачка пробоја у мрежу жртве, БацкдоорДипломаци користи мноштво алата отвореног кода за извиђање и бочно кретање. Међу посматраним алатима које користи група су ЕартхВорм – мрежни тунел, Мимикатз , Нбтсцан, НетЦат – мрежни услужни програм способан да чита и уписује податке преко мрежних веза, ПортКри, СМБТоуцх и неколико алата који су процурили у СхадовБрокерс НСА депонију података.
На крају, група испоручује свој препознатљиви злонамерни инструмент под називом Туриан Бацкдоор . Анализа малвера је открила да је БацкдоорДипломаци развио Туриан на основу бацкдоор претње по имену Куариан. Ова ранија позадинска врата искоришћена је против сличног скупа циљева у низу напада који су били усмерени на дипломатске субјекте који се налазе у Сирији и Сједињеним Државама. Треба напоменути да Бацкдоор Дипломаци такође испушта засебан извршни корисни терет који има задатак да открије све преносиве уређаје за складиштење који су повезани са компромитованим системом. Затим може да копира њихов садржај и складишти га у корпу за отпатке главног диска.
Везе са другим актерима претњи
БацкдоорДипломаци показује одређена преклапања са другим сајбер криминалним групама из азијског региона. На пример, протокол за шифровање који Туриан користи је скоро исти као онај који се види у бекдору Вхитебирд, претећем алату који се приписује групи Калипсо. Вхитебирд је био ангажован у нападима на дипломатске организације из Казахстана и Киргистана током истог временског периода као и операције БацкдоорДипломаци. Преклапање се такође може успоставити између БацкдоорДипломаци и друге групе под називом АПТ15 јер се обе ослањају на исте технике и процедуре приликом постављања својих одговарајућих бацкдоор корисних оптерећења – углавном отмице налога за претрагу ДЛЛ-а.
