Arka KapıDiplomasi

BackdoorDiplomacy, Afrika, Avrupa, Orta Doğu ve Asya'daki diplomatik hedeflere karşı saldırı operasyonları yürütmeye odaklanan bir APT (Gelişmiş Kalıcı Tehdit) grubudur. Grubun kurbanları arasında birkaç Afrika ülkesinin Dışişleri Bakanlıkları da yer alıyor. Daha seyrek olarak, BackdoorDiplomacy telekomünikasyon şirketlerine ve hayır kurumlarına karşı ihlal operasyonlarında yer almıştır.

BackdoorDiplomacy tarafından yararlanılan ilk enfeksiyon vektörleri, Web sunucularında güvenlik açığı bulunan internete maruz kalan sistemleri ve uygulamaları bulmayı içerir. Bilgisayar korsanlarının bir Linux arka kapısını kapatmak için bir F5 BIP-IP güvenlik açığından (CVE-2020-5902) yararlandıkları ve başka bir saldırıda China Chopper adlı iyi belgelenmiş bir Web kabuğu sağlayan bir PowerShell damlalığı aracılığıyla bir Microsoft Exchange sunucusunu kötüye kullandıkları gözlemlendi. . Bu örneklerin açıkça gösterdiği gibi, BackdoorDiplomacy, hem Windows hem de Linux sistemlerini etkileyebilecek çapraz platform kötü amaçlı araçlara sahiptir.

Enfeksiyon Sonrası Faaliyetler

Mağdurun ağında bir ihlal noktası oluşturulduğunda, BackdoorDiplomacy, keşif ve yanal hareket için çok sayıda açık kaynaklı araç kullanır. Grup tarafından kullanılan gözlemlenen araçlar arasında EarthWorm - bir ağ tüneli, Mimikatz , Nbtscan, NetCat - ağ bağlantıları üzerinden veri okuma ve yazma yeteneğine sahip ağ oluşturma aracı, PortQry, SMBTouch ve ShadowBrokers NSA veri dökümüne sızdırılmış birkaç araç bulunmaktadır.

Sonuç olarak grup, Turian Backdoor adlı kötü niyetli aracını teslim eder. Kötü amaçlı yazılımın analizi, BackdoorDiplomacy'nin Quarian adlı bir arka kapı tehdidine dayanarak Turian'ı geliştirdiğini ortaya çıkardı. Daha önceki bu arka kapı, Suriye ve Amerika Birleşik Devletleri'nde bulunan diplomatik oluşumları hedef alan bir dizi saldırıda benzer hedeflere karşı kullanıldı. Backdoor Diplomacy'nin, güvenliği ihlal edilmiş sisteme bağlı herhangi bir çıkarılabilir depolama aygıtını algılamakla görevli ayrı bir yürütülebilir yükü de bıraktığına dikkat edilmelidir. Daha sonra içeriklerini kopyalayabilir ve ana sürücünün geri dönüşüm kutusunda saklayabilir.

Diğer Tehdit Aktörleriyle Bağlantılar

BackdoorDiplomacy, Asya bölgesindeki diğer siber suçlu gruplarıyla bazı örtüşmeler sergiliyor. Örneğin, Turian'ın kullandığı şifreleme protokolü, Calypso grubuna atfedilen tehdit edici bir araç olan Whitebird arka kapısında görülenle neredeyse aynı. Whitebird, Backdoor Diplomasi operasyonlarıyla aynı zaman diliminde Kazakistan ve Kırgızistan'dan diplomatik kuruluşlara yönelik saldırılarda kullanıldı. BackdoorDiplomacy ile APT15 adlı başka bir grup arasında, her ikisi de ilgili arka kapı yüklerini dağıtırken aynı tekniklere ve prosedürlere dayandığından - özellikle DLL arama emri ele geçirme - arasında bir örtüşme de kurulabilir.