BackdoorDiplomacy

BackdoorDiplomacy Description

BackdoorDiplomacy là một nhóm APT (Mối đe dọa liên tục nâng cao) tập trung vào việc thực hiện các hoạt động tấn công nhằm vào các mục tiêu ngoại giao ở Châu Phi, Châu Âu, Trung Đông và Châu Á. Các nạn nhân của nhóm còn có Bộ Ngoại giao của một số nước châu Phi. Ít thường xuyên hơn, BackdoorDiplomacy đã tham gia vào các hoạt động vi phạm chống lại các công ty viễn thông và các tổ chức từ thiện.

Các vectơ lây nhiễm ban đầu được BackdoorDiplomacy khai thác bao gồm việc tìm kiếm các hệ thống và ứng dụng dễ bị tiếp xúc với internet trên các máy chủ Web. Các tin tặc đã được quan sát để khai thác lỗ hổng F5 BIP-IP (CVE-2020-5902) để đánh sập một cửa hậu Linux trong khi trong một cuộc tấn công khác, chúng đã lạm dụng máy chủ Microsoft Exchange thông qua một ống nhỏ giọt PowerShell cung cấp một Web shell tài liệu tốt có tên là China Chopper . Như những trường hợp này cho thấy rõ ràng, BackdoorDiplomacy có các công cụ độc hại đa nền tảng có thể ảnh hưởng đến cả hệ thống Windows và Linux.

Các hoạt động sau nhiễm trùng

Khi một điểm xâm nhập vào mạng của nạn nhân đã được thiết lập, BackdoorDiplomacy sử dụng vô số công cụ mã nguồn mở để do thám và di chuyển bên. Trong số những công cụ quan sát được sử dụng bởi nhóm là EarthWorm - một đường hầm mạng, Mimikatz , Nbtscan, netcat - tiện ích có khả năng đọc và ghi dữ liệu qua kết nối mạng, PortQry, SMBTouch, và một số công cụ bị phát tán trong mạng ShadowBrokers bãi chứa dữ liệu NSA.

Cuối cùng, nhóm đã cung cấp công cụ độc hại đặc trưng của mình có tên Turian Backdoor . Phân tích phần mềm độc hại đã tiết lộ rằng BackdoorDiplomacy đã phát triển Turian dựa trên mối đe dọa cửa hậu có tên Quarian. Cửa hậu trước đó đã được tận dụng để chống lại một loạt các mục tiêu tương tự trong một loạt các cuộc tấn công nhằm vào các thực thể ngoại giao ở Syria và Hoa Kỳ. Cần lưu ý rằng Backdoor Diplomacy cũng giảm tải trọng thực thi riêng có nhiệm vụ phát hiện bất kỳ thiết bị lưu trữ di động nào được kết nối với hệ thống bị xâm phạm. Sau đó, nó có thể sao chép nội dung của chúng và lưu trữ chúng trong thùng rác của ổ đĩa chính.

Kết nối với các tác nhân đe dọa khác

BackdoorDiplomacy thể hiện sự trùng lặp nhất định với các nhóm tội phạm mạng khác từ khu vực châu Á. Ví dụ: giao thức mã hóa mà Turian sử dụng gần giống với giao thức được thấy trong cửa hậu Whitebird, một công cụ đe dọa được quy cho nhóm Calypso. Whitebird đã được sử dụng trong các cuộc tấn công chống lại các tổ chức ngoại giao từ Kazakhstan và Kyrgyzstan trong cùng khung thời gian với các hoạt động BackdoorDiplomacy. Sự chồng chéo cũng có thể được thiết lập giữa BackdoorDiplomacy và một nhóm khác có tên APT15 vì cả hai đều dựa trên các kỹ thuật và quy trình giống nhau khi triển khai các trọng tải backdoor tương ứng của chúng - chủ yếu là chiếm quyền điều khiển tìm kiếm DLL.