后门外交

后门外交说明

BackdoorDiplomacy 是一个 APT(高级持续威胁)组织,专注于对非洲、欧洲、中东和亚洲的外交目标进行攻击行动。该团体的受害者还包括几个非洲国家的外交部。不太频繁的是,BackdoorDiplomacy 参与了针对电信公司和慈善组织的违规操作。

BackdoorDiplomacy 利用的初始感染媒介包括在 Web 服务器上寻找易受攻击的暴露在互联网上的系统和应用程序。据观察,黑客利用 F5 BIP-IP 漏洞 (CVE-2020-5902) 投放 Linux 后门,而在另一次攻击中,他们通过 PowerShell 投放程序滥用 Microsoft Exchange 服务器,该投放程序提供了一个名为China Chopper 的文档完善的 Web 外壳程序.正如这些实例清楚地表明的那样,BackdoorDiplomacy 拥有可以影响 Windows 和 Linux 系统的跨平台恶意工具。

感染后活动

一旦建立了进入受害者网络的漏洞点,BackdoorDiplomacy 就会使用多种开源工具进行侦察和横向移动。该组织使用的观察到的工具包括 EarthWorm(一种网络隧道)、 Mimikatz 、Nbtscan、 NetCat (能够通过网络连接读取和写入数据的网络实用程序)、PortQry、SMBTouch 以及在ShadowBrokers NSA 数据转储中泄露的几个工具。

最终,该组织交付了其签名恶意工具,名为Turian Backdoor 。对该恶意软件的分析表明,BackdoorDiplomacy 基于名为 Quarian 的后门威胁开发了 Turian。在针对位于叙利亚和美国的外交实体的一系列攻击中,这个较早的后门被用来对付一组类似的目标。应该注意的是,Backdoor Diplomacy 还投放了一个单独的可执行有效载荷,其任务是检测连接到受感染系统的任何可移动存储设备。然后它可以复制它们的内容并将它们存储在主驱动器的回收站中。

与其他威胁参与者的联系

BackdoorDiplomacy 与亚洲地区的其他网络犯罪集团有一定的重叠。例如,Turian 使用的加密协议与 Whitebird 后门中看到的几乎相同,后者是 Calypso 组织的威胁工具。白鸟在与后门外交行动相同的时间范围内被用于攻击来自哈萨克斯坦和吉尔吉斯斯坦的外交组织。 BackdoorDiplomacy 和另一个名为 APT15 的组织之间也可以建立重叠,因为它们在部署各自的后门有效载荷时都依赖相同的技术和程序——主要是 DLL 搜索顺序劫持。