Eine kürzlich entdeckte Gruppe von Advanced Persistent Threats (APT) zielt auf Diplomaten in ganz Afrika und im Nahen Osten ab.
Am Donnerstag von ESET-Forschern enthüllt, wurde die staatlich geförderte Gruppe namens BackdoorDiplomacy mit erfolgreichen Angriffen auf Außenministerien in zahlreichen afrikanischen Ländern, im Nahen Osten, in Europa und Asien in Verbindung gebracht – neben einer kleineren Untergruppe von Telekommunikationsunternehmen in Afrika und mindestens eine Wohltätigkeitsorganisation im Nahen Osten.
BackdoorDiplomacy soll seit mindestens 2017 in Betrieb sein. Die plattformübergreifende Gruppe zielt sowohl auf Linux- als auch auf Windows-Systeme ab und scheint es vorzuziehen, mit dem Internet verbundene, anfällige Geräte als ersten Angriffsvektor auszunutzen.
Wenn Webserver oder Netzwerkverwaltungsschnittstellen gefunden werden, die Schwachstellen aufweisen, wie z. B. Softwareschwachstellen oder schlechte Sicherheit beim Hochladen von Dateien, schlägt der APT zu. In einem von ESET beobachteten Fall wurde ein F5-Fehler – CVE-2020-5902 – verwendet, um eine Linux-Backdoor bereitzustellen, während BackdoorDiplomacy in einem anderen Microsoft Exchange-Server-Bugs für die Bereitstellung von China Chopper, einer Webshell, übernommen hat.
Sobald sie Zugang erhalten haben, scannen die Bedrohungsakteure das Gerät auf seitliche Bewegungen; Installieren Sie eine benutzerdefinierte Hintertür und setzen Sie eine Reihe von Tools ein, um Überwachung und Datendiebstahl durchzuführen.
Die Hintertür namens Turian basiert vermutlich auf der Quarian-Hintertür – Malware, die mit Angriffen auf diplomatische Ziele in Syrien und den USA im Jahr 2013 in Verbindung gebracht wurde.
Das WichtigsteThe implant ist in der Lage, Systemdaten zu sammeln und zu exfiltrieren, Screenshots zu erstellen sowie Dateien zu überschreiben, zu verschieben/zu löschen oder zu stehlen.
Zu den eingesetzten Tools gehört die Netzwerktunnelsoftware EarthWorm; Mimikatz, NetCat und Software, die von der US-amerikanischen National Security Agency (NSA) entwickelt und von ShadowBrokern wie EternalBlue, DoublePulsar und EternalRocks abgelegt wurde.
VMProtect wurde in den meisten Fällen verwendet, um die Aktivitäten der Gruppe zu verschleiern.
Diplomaten müssen möglicherweise mit sensiblen Informationen umgehen, die über Wechseldatenträger und -speicher weitergegeben werden. Um den Umfang seiner Cyberspionage-Aktivitäten zu erweitern, scannt BackdoorDiplomacy nach Flash-Laufwerken und versucht, alle Dateien davon in ein passwortgeschütztes Archiv zu kopieren, das dann über die Hintertür in ein Command-and-Control-Center (C2) geleitet wird.
Obwohl BackdoorDiplomacy als eigenständiges APT registriert wurde, scheint es andere Links oder zumindest gemeinsame Threads mit anderen Bedrohungsgruppen zu geben.
Das von APT verwendete Netzwerkverschlüsselungsprotokoll ist fast identisch mit dem, das von der Whitebird-Backdoor der Calypso-Gruppe verwendet wird, und diese Malware wurde zwischen 2017 und 2020 gegen diplomatische Ziele in Kasachstan und Kirgisistan eingesetzt. Darüber hinaus glaubt ESET, dass es Gemeinsamkeiten mit CloudComputating/Platinum . gibt , das in den vergangenen Jahren diplomatische, staatliche und militärische Organisationen in ganz Asien ins Visier genommen hatte.
Andere Hinweise auf Codierung und Mechanismen ähneln denen von Rehashed Rat und MirageFox/APT15.
In einer anderen Studie in diesem Monat entdeckte Check Point Research eine neuartige Hintertür, die von chinesischen Bedrohungsakteuren im Laufe von drei Jahren entwickelt wurde. Die Malware namens VictoryDll_x86.dll wurde verwendet, um ein Netzwerk des Außenministeriums einer südostasiatischen Regierung zu kompromittieren.
Frühere und verwandte Berichterstattung
Transparent Tribe APT zielt durch die Infektion von USB-Geräten auf Regierung und Militär ab
Neue APT-Hacking-Gruppe nutzt 'KilllSomeOne' DLL-Sideloading
Promethium APT-Angriffe nehmen zu, neu Trojaner-Installationsprogramme aufgedeckt
Haben Sie einen Tipp? Kontaktieren Sie uns sicher über WhatsApp | Signal unter +447713 025 499 oder drüben bei Keybase: charlie0
Verwandte Themen:
Sicherheit TV-Datenverwaltung CXO-Rechenzentren 