後門外交

後門外交說明

BackdoorDiplomacy 是一個 APT(高級持續威脅)組織,專注於對非洲、歐洲、中東和亞洲的外交目標進行攻擊行動。該團體的受害者還包括幾個非洲國家的外交部。不太頻繁的是,BackdoorDiplomacy 參與了針對電信公司和慈善組織的違規操作。

BackdoorDiplomacy 利用的初始感染媒介包括在 Web 服務器上尋找易受攻擊的暴露在互聯網上的系統和應用程序。據觀察,黑客利用 F5 BIP-IP 漏洞 (CVE-2020-5902) 投放 Linux 後門,而在另一次攻擊中,他們通過 PowerShell 投放程序濫用 Microsoft Exchange 服務器,該投放程序提供了一個名為China Chopper 的文檔完善的 Web 外殼程序.這些實例清楚地表明,BackdoorDiplomacy 擁有跨平台的惡意工具,可以影響 Windows 和 Linux 系統。

感染後活動

一旦建立了進入受害者網絡的漏洞點,BackdoorDiplomacy 就會使用多種開源工具進行偵察和橫向移動。該組織使用的觀察到的工具包括 EarthWorm(一種網絡隧道)、 Mimikatz 、Nbtscan、 NetCat (能夠通過網絡連接讀取和寫入數據的網絡實用程序)、PortQry、SMBTouch 以及在ShadowBrokers NSA 數據轉儲中洩露的幾個工具。

最終,該組織交付了其簽名惡意工具,名為Turian Backdoor 。對該惡意軟件的分析表明,BackdoorDiplomacy 基於名為 Quarian 的後門威脅開發了 Turian。在針對位於敘利亞和美國的外交實體的一系列攻擊中,這個較早的後門被用來對付一組類似的目標。應該注意的是,Backdoor Diplomacy 還投放了一個單獨的可執行有效載荷,其任務是檢測連接到受感染系統的任何可移動存儲設備。然後它可以復制它們的內容並將它們存儲在主驅動器的回收站中。

與其他威脅參與者的聯繫

BackdoorDiplomacy 與亞洲地區的其他網絡犯罪集團有一定的重疊。例如,Turian 使用的加密協議與 Whitebird 後門中看到的幾乎相同,後者是 Calypso 組織的威脅工具。白鳥在與後門外交行動相同的時間範圍內被用於攻擊來自哈薩克斯坦和吉爾吉斯斯坦的外交組織。 BackdoorDiplomacy 和另一個名為 APT15 的組織之間也可以建立重疊,因為兩者在部署各自的後門有效載荷時都依賴相同的技術和程序——主要是 DLL 搜索順序劫持。