ลับๆการทูต

ลับๆการทูต คำอธิบาย

BackdoorDiplomacy เป็นกลุ่ม APT (Advanced Persistent Threat) ที่มุ่งเน้นการดำเนินการโจมตีต่อเป้าหมายทางการทูตในแอฟริกา ยุโรป ตะวันออกกลาง และเอเชีย เหยื่อของกลุ่มนี้ยังรวมถึงกระทรวงการต่างประเทศของหลายประเทศในแอฟริกาด้วย บ่อยครั้ง BackdoorDiplomacy มีส่วนเกี่ยวข้องกับการฝ่าฝืนการดำเนินการกับบริษัทโทรคมนาคมและองค์กรการกุศล

เวคเตอร์การติดไวรัสเริ่มต้นที่ใช้ประโยชน์โดย BackdoorDiplomacy รวมถึงการค้นหาระบบและแอพพลิเคชั่นที่เปิดเผยทางอินเทอร์เน็ตบนเว็บเซิร์ฟเวอร์ แฮ็กเกอร์ได้รับการสังเกตว่าใช้ช่องโหว่ F5 BIP-IP (CVE-2020-5902) เพื่อลบแบ็คดอร์ของ Linux ในขณะที่การโจมตีอีกครั้งพวกเขาใช้เซิร์ฟเวอร์ Microsoft Exchange ในทางที่ผิดผ่าน PowerShell dropper ที่ส่ง Web Shell เอกสารที่ดีชื่อ China Chopper . ดังที่ตัวอย่างเหล่านี้แสดงให้เห็นอย่างชัดเจน BackdoorDiplomacy มีเครื่องมือที่เป็นอันตรายข้ามแพลตฟอร์มที่สามารถส่งผลกระทบต่อทั้งระบบ Windows และ Linux

กิจกรรมหลังการติดเชื้อ

เมื่อมีการสร้างจุดเจาะเข้าไปในเครือข่ายของเหยื่อแล้ว BackdoorDiplomacy จะใช้เครื่องมือโอเพนซอร์สมากมายสำหรับการลาดตระเวนและการเคลื่อนไหวด้านข้าง เครื่องมือที่ใช้โดยกลุ่ม ได้แก่ EarthWorm - อุโมงค์เครือข่าย, Mimikatz , Nbtscan, NetCat - ยูทิลิตีเครือข่ายที่สามารถอ่านและเขียนข้อมูลผ่านการเชื่อมต่อเครือข่าย PortQry, SMBTouch และเครื่องมือหลายอย่างที่รั่วไหลในการถ่ายโอนข้อมูล ShadowBrokers NSA

ในท้ายที่สุด กลุ่มได้ส่งมอบเครื่องมือที่เป็นอันตรายซึ่งมีชื่อว่า Turian Backdoor การวิเคราะห์มัลแวร์เปิดเผยว่า BackdoorDiplomacy พัฒนา Turian โดยอิงจากภัยคุกคามลับๆ ชื่อ Quarian แบ็คดอร์ก่อนหน้านี้ถูกใช้กับกลุ่มเป้าหมายที่คล้ายกันในชุดการโจมตีที่มุ่งเป้าไปที่หน่วยงานทางการทูตที่ตั้งอยู่ในซีเรียและสหรัฐอเมริกา ควรสังเกตว่า Backdoor Diplomacy ยังลดเพย์โหลดปฏิบัติการแยกต่างหาก ซึ่งมีหน้าที่ในการตรวจจับอุปกรณ์จัดเก็บข้อมูลแบบถอดได้ใดๆ ที่เชื่อมต่อกับระบบที่ถูกบุกรุก จากนั้นจะสามารถคัดลอกเนื้อหาและจัดเก็บไว้ในถังรีไซเคิลของไดรฟ์หลักได้

การเชื่อมต่อกับผู้คุกคามอื่น ๆ

BackdoorDiplomacy แสดงความทับซ้อนกับกลุ่มอาชญากรไซเบอร์อื่นๆ จากภูมิภาคเอเชีย ตัวอย่างเช่น โปรโตคอลการเข้ารหัสที่ Turian ใช้เกือบจะเหมือนกับที่พบในแบ็คดอร์ของ Whitebird ซึ่งเป็นเครื่องมือที่คุกคามจากกลุ่ม Calypso Whitebird ถูกใช้ในการโจมตีองค์กรทางการทูตจากคาซัคสถานและคีร์กีซสถานในช่วงเวลาเดียวกับปฏิบัติการ BackdoorDiplomacy นอกจากนี้ยังสามารถสร้างการทับซ้อนระหว่าง BackdoorDiplomacy และอีกกลุ่มหนึ่งที่ชื่อ APT15 เนื่องจากทั้งคู่ใช้เทคนิคและขั้นตอนเดียวกันเมื่อปรับใช้ส่วนข้อมูลลับๆ ของตน ซึ่งส่วนใหญ่เป็นการจี้คำสั่งค้นหา DLL