BackdoorDiplomatie

BackdoorDiplomatie-Beschreibung

BackdoorDiplomacy ist eine APT-Gruppe (Advanced Persistent Threat), die sich auf die Durchführung von Angriffsoperationen gegen diplomatische Ziele in Afrika, Europa, dem Nahen Osten und Asien konzentriert. Zu den Opfern der Gruppe gehören auch die Außenministerien mehrerer afrikanischer Länder. Weniger häufig war BackdoorDiplomacy an Sicherheitsverletzungen gegen Telekommunikationsunternehmen und Wohltätigkeitsorganisationen beteiligt.

Zu den ersten von BackdoorDiplomacy ausgenutzten Infektionsvektoren gehört das Auffinden von anfälligen, dem Internet ausgesetzten Systemen und Anwendungen auf Webservern. Es wurde beobachtet, dass die Hacker eine F5-BIP-IP-Sicherheitslücke (CVE-2020-5902) ausnutzten, um eine Linux-Hintertür zu löschen, während sie bei einem anderen Angriff einen Microsoft Exchange-Server über einen PowerShell-Dropper missbrauchten, der eine gut dokumentierte Web-Shell namens China Chopper lieferte . Wie diese Fälle deutlich zeigen, verfügt BackdoorDiplomacy über plattformübergreifende schädliche Tools, die sowohl Windows- als auch Linux-Systeme betreffen können.

Aktivitäten nach der Infektion

Sobald eine Angriffsstelle in das Netzwerk des Opfers eingerichtet wurde, verwendet BackdoorDiplomacy eine Vielzahl von Open-Source-Tools zur Aufklärung und Querbewegung. Zu den beobachteten Tools, die von der Gruppe verwendet werden, gehören EarthWorm – ein Netzwerktunnel, Mimikatz , Nbtscan, NetCat – ein Netzwerkdienstprogramm, das Daten über Netzwerkverbindungen lesen und schreiben kann, PortQry, SMBTouch und mehrere Tools, die im ShadowBrokers- NSA-Datendump durchgesickert sind.

Letztendlich liefert der Konzern sein charakteristisches Schadinstrument namens Turian Backdoor aus . Die Analyse der Malware hat ergeben, dass BackdoorDiplomacy Turian basierend auf einer Backdoor-Bedrohung namens Quarian entwickelt hat. Diese frühere Hintertür wurde gegen ähnliche Ziele in einer Reihe von Angriffen genutzt, die auf diplomatische Einrichtungen in Syrien und den Vereinigten Staaten abzielten. Es sollte beachtet werden, dass Backdoor Diplomacy auch eine separate ausführbare Nutzlast verwirft, die mit der Erkennung von Wechselspeichergeräten beauftragt ist, die mit dem kompromittierten System verbunden sind. Es kann dann ihren Inhalt kopieren und im Papierkorb des Hauptlaufwerks speichern.

Verbindungen zu anderen Bedrohungsakteuren

BackdoorDiplomacy weist gewisse Überschneidungen mit anderen cyberkriminellen Gruppen aus dem asiatischen Raum auf. Zum Beispiel ist das von Turian verwendete Verschlüsselungsprotokoll fast dasselbe wie das in der Whitebird-Hintertür, einem bedrohlichen Werkzeug, das der Calypso-Gruppe zugeschrieben wird. Whitebird wurde im gleichen Zeitraum wie die BackdoorDiplomacy-Operationen bei Angriffen gegen diplomatische Organisationen aus Kasachstan und Kirgisistan eingesetzt. Eine Überlappung kann auch zwischen BackdoorDiplomacy und einer anderen Gruppe namens APT15 festgestellt werden, da beide bei der Bereitstellung ihrer jeweiligen Backdoor-Payloads auf die gleichen Techniken und Verfahren angewiesen sind - hauptsächlich die DLL-Suchreihenfolge-Hijacking.