BackdoorDiplomacy
Ang BackdoorDiplomacy ay isang grupo ng APT (Advanced Persistent Threat) na nakatuon sa pagsasagawa ng mga operasyon ng pag-atake laban sa mga diplomatikong target sa Africa, Europe, Middle East at Asia. Kasama rin sa mga biktima ng grupo ang Ministries of Foreign Affairs ng ilang bansa sa Africa. Hindi gaanong madalas, ang BackdoorDiplomacy ay nasangkot sa mga operasyon ng paglabag laban sa mga kumpanya ng telekomunikasyon at mga organisasyong pangkawanggawa.
Ang mga unang vector ng impeksyon na pinagsamantalahan ng BackdoorDiplomacy ay kinabibilangan ng paghahanap ng mga bulnerableng sistema at application na nakalantad sa internet sa mga Web server. Napagmasdan ang mga hacker na sinamantala ang isang F5 BIP-IP vulnerability (CVE-2020-5902) para i-drop ang backdoor ng Linux habang sa isa pang pag-atake ay inabuso nila ang isang Microsoft Exchange server sa pamamagitan ng PowerShell dropper na naghatid ng well-document Web shell na pinangalanang China Chopper . Tulad ng malinaw na ipinapakita ng mga pagkakataong ito, ang BackdoorDiplomacy ay mayroong cross-platform na mga nakakahamak na tool na maaaring makaapekto sa parehong Windows at Linux system.
Mga Aktibidad Pagkatapos ng Impeksyon
Kapag naitatag na ang isang breach point sa network ng biktima, gumagamit ang BackdoorDiplomacy ng maraming open-source na tool para sa reconnaissance at lateral movement. Kabilang sa mga naobserbahang tool na ginamit ng grupo ay EarthWorm - isang network tunnel, Mimikatz , Nbtscan, NetCat - networking utility na may kakayahang magbasa at magsulat ng data sa mga koneksyon sa network, PortQry, SMBTouch, at ilang tool na na-leak sa ShadowBrokers NSA data dump.
Sa huli, inihahatid ng grupo ang signature malisyosong instrumento nito na pinangalanang Turian Backdoor . Ang pagsusuri sa malware ay nagsiwalat na ang BackdoorDiplomacy ay bumuo ng Turian batay sa isang backdoor threat na pinangalanang Quarian. Ang naunang backdoor na ito ay ginamit laban sa isang katulad na hanay ng mga target sa isang serye ng mga pag-atake na naglalayong sa mga diplomatikong entity na matatagpuan sa Syria at United States. Dapat tandaan na ang Backdoor Diplomacy ay nag-drop din ng isang hiwalay na executable payload na nakatalaga sa pag-detect ng anumang naaalis na storage device na konektado sa nakompromisong system. Maaari nitong kopyahin ang kanilang mga nilalaman at iimbak ang mga ito sa recycle bin ng pangunahing drive.
Mga Koneksyon sa Iba Pang Banta na Aktor
Ang BackdoorDiplomacy ay nagpapakita ng ilang partikular na overlap sa iba pang mga cybercriminal na grupo mula sa rehiyon ng Asia. Halimbawa, ang encryption protocol na ginagamit ng Turian ay halos kapareho ng nakikita sa Whitebird backdoor, isang nagbabantang tool na iniuugnay sa pangkat ng Calypso. Ang Whitebird ay ginamit sa mga pag-atake laban sa mga diplomatikong organisasyon mula sa Kazakhstan at Kyrgyzstan sa parehong panahon ng mga operasyon ng BackdoorDiplomacy. Maaari ding magtatag ng overlap sa pagitan ng BackdoorDiplomacy at ng isa pang grupong pinangalanang APT15 dahil parehong umaasa sa parehong mga diskarte at pamamaraan kapag nagde-deploy ng kani-kanilang mga backdoor payload - pangunahin ang DLL search order hijacking.
