Bakdörrdiplomati
BackdoorDiplomacy är en APT-grupp (Advanced Persistent Threat) som fokuserar på att utföra attackoperationer mot diplomatiska mål i Afrika, Europa, Mellanöstern och Asien. Gruppens offer är också utrikesministerierna i flera afrikanska länder. Mindre ofta har BackdoorDiplomacy varit involverad i brott mot telekommunikationsföretag och välgörenhetsorganisationer.
De första infektionsvektorerna som utnyttjas av BackdoorDiplomacy inkluderar att hitta sårbara interneteksponerade system och applikationer på webbservrar. Hackarna har observerats utnyttja en F5 BIP-IP-sårbarhet (CVE-2020-5902) för att släppa en Linux-bakdörr medan de i en annan attack missbrukade en Microsoft Exchange-server genom en PowerShell-dropper som levererade ett väldokument-webbskal med namnet China Chopper . Som dessa fall tydligt visar har BackdoorDiplomacy skadliga verktyg på flera plattformar som kan påverka både Windows- och Linux-system.
Aktiviteter efter infektion
När en överträdelsepunkt i offrets nätverk har upprättats använder BackdoorDiplomacy en mängd öppna källkodsverktyg för spaning och sidorörelse. Bland de observerade verktygen som används av gruppen är EarthWorm - en nätverkstunnel, Mimikatz , Nbtscan, NetCat - nätverksverktyg som kan läsa och skriva data över nätverksanslutningar, PortQry, SMBTouch och flera verktyg som läckt ut i ShadowBrokers NSA-datadumpen.
I slutändan levererar gruppen sitt signaturskadliga instrument med namnet Turian Backdoor . Analys av skadlig programvara har avslöjat att BackdoorDiplomacy utvecklat Turian baserat på ett bakdörrhot som heter Quarian. Denna tidigare bakdörr utnyttjades mot en liknande uppsättning mål i en serie attacker som riktades mot diplomatiska enheter i Syrien och USA. Det bör noteras att Backdoor Diplomacy också tappar en separat körbar nyttolast i uppgift att upptäcka eventuella flyttbara lagringsenheter som är anslutna till det komprometterade systemet. Det kan sedan kopiera deras innehåll och lagra det i huvuddrivarens papperskorg.
Anslutningar till andra hotskådespelare
BackdoorDiplomacy uppvisar vissa överlappningar med andra cyberkriminella grupper från den asiatiska regionen. Till exempel är krypteringsprotokollet som Turian använder nästan detsamma som det som ses i Whitebird-bakdörren, ett hotande verktyg som tillskrivs Calypso-gruppen. Whitebird anställdes i attacker mot diplomatiska organisationer från Kazakstan och Kirgizistan under samma tidsram som BackdoorDiplomacy-operationerna. En överlappning kan också upprättas mellan BackdoorDiplomacy och en annan grupp med namnet APT15 eftersom båda är beroende av samma tekniker och förfaranden när de distribuerar respektive bakdörr nyttolast - främst kapning av DLL-sökord.
