Un gruppo di minacce avanzate persistenti (APT) scoperto di recente sta prendendo di mira diplomatici in Africa e nel Medio Oriente.
Rivelato giovedì dai ricercatori ESET, il gruppo sponsorizzato dallo stato, soprannominato BackdoorDiplomacy, è stato collegato ad attacchi riusciti contro i ministeri degli affari esteri in numerosi paesi africani, Medio Oriente, Europa e Asia, insieme a un sottoinsieme più piccolo di società di telecomunicazioni in Africa e almeno un'organizzazione di beneficenza in Medio Oriente.
Si pensa che BackdoorDiplomacy sia operativo almeno dal 2017. Il gruppo multipiattaforma prende di mira sia i sistemi Linux che Windows e sembra preferire sfruttare i dispositivi vulnerabili con connessione a Internet come vettore di attacco iniziale.
Se vengono rilevati server Web o interfacce di gestione di rete con punti deboli, come vulnerabilità del software o scarsa sicurezza per il caricamento dei file, l'APT colpirà. In un caso osservato da ESET, un bug F5 – CVE-2020-5902 – è stato utilizzato per distribuire una backdoor Linux, mentre, in un altro, BackdoorDiplomacy ha adottato bug del server Microsoft Exchange per distribuire China Chopper, una webshell.
Una volta ottenuto l'accesso, gli attori della minaccia eseguiranno la scansione del dispositivo ai fini del movimento laterale; installa una backdoor personalizzata e distribuisci una gamma di strumenti per condurre la sorveglianza e il furto di dati.
Si pensa che la backdoor, soprannominata Turian, sia basata sulla backdoor Quarian, un malware collegato ad attacchi usati contro obiettivi diplomatici in Siria e negli Stati Uniti nel 2013.
Il principale impianto è in grado di raccogliere ed estrarre dati di sistema, acquisire schermate e anche sovrascrivere, spostare/eliminare o rubare file.
Tra gli strumenti utilizzati c'è il software per tunnel di rete EarthWorm; Mimikatz, NetCat e software sviluppati dalla National Security Agency (NSA) degli Stati Uniti e scaricati da ShadowBrokers, come EternalBlue, DoublePulsar ed EternalRocks.
VMProtect è stato utilizzato nella maggior parte dei casi per cercare di offuscare le attività del gruppo.
I diplomatici potrebbero dover gestire informazioni sensibili trasmesse tramite unità rimovibili e archiviazione. Per ampliare la portata delle sue attività di spionaggio informatico, BackdoorDiplomacy cercherà le unità flash e tenterà di copiare tutti i file da esse in un archivio protetto da password che verrà quindi trasferito a un centro di comando e controllo (C2) tramite la backdoor.
Sebbene BackdoorDiplomacy sia stata registrata come APT a sé stante, sembrano esserci altri collegamenti, o almeno thread comuni, con altri gruppi di minacce.
Il protocollo di crittografia di rete utilizzato dall'APT è quasi identico a quello utilizzato dalla backdoor Whitebird del gruppo Calypso e questo malware è stato distribuito contro obiettivi diplomatici in Kazakistan e Kirghizistan nel periodo 2017-2020. Inoltre, ESET ritiene che vi siano elementi in comune con CloudComputating/Platinum , che negli anni precedenti ha preso di mira organizzazioni diplomatiche, governative e militari in tutta l'Asia.
Altri indizi di codifica e meccanismo sono simili a Rehashed Rat e MirageFox/APT15.
In un'altra ricerca di questo mese, Check Point Research ha scoperto una nuova backdoor sviluppata da criminali cinesi nel corso di tre anni. Il malware, soprannominato VictoryDll_x86.dll, è stato utilizzato per compromettere una rete appartenente al Ministero degli Affari Esteri di un governo del sud-est asiatico.
Copertura precedente e correlata
Transparent Tribe APT prende di mira governo e militari infettando i dispositivi USB
Il nuovo gruppo di hacking APT sfrutta il sideloading della DLL “KilllSomeOne”
Gli attacchi APT di Promethium aumentano, nuovi Scoperti programmi di installazione trojan
Hai un consiglio? Mettiti in contatto in modo sicuro tramite WhatsApp | Segnale al numero +447713 025 499 o tramite Keybase: charlie0
Argomenti correlati:
Gestione dei dati della TV di sicurezza Centri dati CXO 