En nyligt opdaget gruppe med avanceret vedvarende trussel (APT) retter sig mod diplomater i hele Afrika og Mellemøsten.
Afsløret torsdag af ESET-forskere har den statsstøttede gruppe, kaldet BackdoorDiplomacy, været forbundet med vellykkede angreb mod udenrigsministerier i adskillige afrikanske lande, Mellemøsten, Europa og Asien – sammen med en mindre delmængde af telekommunikationsfirmaer i Afrika og mindst et velgørenhedsudstyr i Mellemøsten.
BackdoorDiplomacy menes at have været i drift siden mindst 2017. Gruppen på tværs af platforme er målrettet mod både Linux- og Windows-systemer og synes at foretrække at udnytte internetvendte, sårbare enheder som en indledende angrepsvektor.
Hvis der findes webservere eller netværksadministrationsgrænseflader, der har svage punkter, såsom softwareproblemer eller dårlig filupload-sikkerhed, vil APT slå til. I et tilfælde observeret af ESET blev en F5-bug – CVE-2020-5902 – brugt til at implementere en Linux-bagdør, mens BackdoorDiplomacy i en anden vedtog Microsoft Exchange-serverfejl til at implementere China Chopper, en webshell.
Når de først har fået adgang, scanner trusselsaktørerne enheden med henblik på lateral bevægelse; installer en brugerdefineret bagdør, og implementer en række værktøjer til at gennemføre overvågning og datatyveri.
Bagdøren, kaldet Turian, menes at være baseret på Quarian bagdør – malware knyttet til angreb brugt mod diplomatiske mål i Syrien og USA tilbage i 2013.
implantatet er i stand til at høste og exfiltrere systemdata, tage skærmbilleder og også overskrive, flytte/slette eller stjæle filer.
Blandt de anvendte værktøjer er netværkstunnelsoftware EarthWorm; Mimikatz, NetCat og software udviklet af US National Security Agency (NSA) og dumpet af ShadowBrokers, såsom EternalBlue, DoublePulsar og EternalRocks.
VMProtect blev i de fleste tilfælde brugt til at forsøge at skjule gruppens aktiviteter.
Diplomater skal muligvis håndtere følsomme oplysninger udleveret via flytbare drev og opbevaring. For at udvide omfanget af sine cyberspionage-aktiviteter vil BackdoorDiplomacy scanne efter flashdrev og forsøge at kopiere alle filer fra dem til et adgangskodebeskyttet arkiv, der derefter piskes ud til et kommando-og-kontrol-center (C2) via bagdøren.
Selvom BackdoorDiplomacy er blevet registreret som en APT i sig selv, ser det ud til at være andre links eller i det mindste fælles tråde med andre trusselsgrupper.
Netværkskrypteringsprotokollen, der bruges af APT, er næsten identisk med den, der blev brugt af Calypso-gruppens Whitebird bagdør, og denne malware blev implementeret mod diplomatiske mål i Kasakhstan og Kirgisistan i løbet af 2017 – 2020. Derudover mener ESET, at der er fælles om CloudComputating/Platinum , der har været målrettet mod diplomatiske, regeringsmæssige og militære organisationer i hele Asien i tidligere år.
Andre kodning og mekaniske spor svarer til Rehashed Rat og MirageFox/APT15.
I anden forskning i denne måned opdagede Check Point Research en roman bagdør udviklet af kinesiske trusselsaktører i løbet af tre år. Malwaren, kaldet VictoryDll_x86.dll, blev brugt til at kompromittere et netværk, der tilhører en sydøstasiatiske regerings udenrigsministerium.
Tidligere og relateret dækning
Transparent Tribe APT retter sig mod regering, militær ved at inficere USB-enheder
Ny APT-hacking-gruppe udnytter 'KilllSomeOne' DLL side-loading – Promethium APT angriber bølge, ny Trojaniserede installatører afsløret
Har du et tip? Kontakt sikkert via WhatsApp | Signal ved +447713 025 499, eller derover ved Keybase: charlie0
Relaterede emner:
Sikkerhed TV-datastyring CXO-datacentre 