BackdoorDiplomacy
BackdoorDiplomacy — це група APT (Advanced Persistent Threat), яка зосереджена на проведенні операцій проти дипломатичних цілей в Африці, Європі, на Близькому Сході та в Азії. Серед жертв угруповання також міністерства закордонних справ кількох африканських країн. Рідше BackdoorDiplomacy брав участь у операціях щодо злому проти телекомунікаційних компаній та благодійних організацій.
Початкові вектори зараження, якими користується BackdoorDiplomacy, включають пошук уразливих систем і програм на веб-серверах, відкритих для Інтернету. Помічено, що хакери використовували вразливість F5 BIP-IP (CVE-2020-5902) для скидання бекдору Linux, тоді як під час іншої атаки вони зловживали сервером Microsoft Exchange через дроппер PowerShell, який надав добре документовану веб-оболонку під назвою China Chopper. . Як видно з цих випадків, BackdoorDiplomacy має міжплатформні шкідливі інструменти, які можуть впливати на системи Windows і Linux.
Діяльність після зараження
Після встановлення точки проникнення в мережу жертви BackdoorDiplomacy використовує безліч інструментів з відкритим кодом для розвідки та бічного переміщення. Серед спостережуваних інструментів, які використовуються групою, є EarthWorm – мережевий тунель, Mimikatz , Nbtscan, NetCat – мережева утиліта, здатна читати та записувати дані через мережеві з’єднання, PortQry, SMBTouch та кілька інструментів, які були витоку в дампі даних ShadowBrokers NSA.
Зрештою, група постачає свій фірмовий шкідливий інструмент під назвою Turian Backdoor . Аналіз зловмисного програмного забезпечення показав, що BackdoorDiplomacy розробив Turian на основі бекдорної загрози під назвою Quarian. Цей попередній бэкдор використовувався проти подібного набору цілей у серії атак, спрямованих на дипломатичні установи, розташовані в Сирії та Сполучених Штатах. Слід зазначити, що Backdoor Diplomacy також скидає окремий виконуваний корисний файл, який має завдання виявити будь-які знімні пристрої зберігання даних, підключені до зламаної системи. Потім він може копіювати їх вміст і зберігати в кошику головного диска.
Зв'язки з іншими суб'єктами загрози
BackdoorDiplomacy демонструє певні збіги з іншими кіберзлочинними групами з азіатського регіону. Наприклад, протокол шифрування, який використовує Turian, майже такий самий, як той, який можна побачити у бекдорі Whitebird, загрозливому інструменті, що належить групі Calypso. Whitebird брав участь у атаках на дипломатичні організації з Казахстану та Киргизстану в той самий період, що й операції BackdoorDiplomacy. Між BackdoorDiplomacy та іншою групою під назвою APT15 також можна встановити перекриття, оскільки обидві покладаються на одні й ті ж методи та процедури під час розгортання відповідних бекдорних корисних навантажень – в основному, викрадення порядку пошуку DLL.
