En nylig oppdaget gruppe med avansert vedvarende trussel (APT) retter seg mot diplomater over hele Afrika og Midtøsten.
Avslørt torsdag av ESET-forskere, har den statsstøttede gruppen, kalt BackdoorDiplomacy, blitt knyttet til vellykkede angrep mot utenriksdepartementer i mange afrikanske land, Midtøsten, Europa og Asia – sammen med en mindre delmengde av teleselskaper Afrika og minst ett veldedighetsutstyr i Midtøsten.
BackdoorDiplomacy antas å ha vært i drift siden minst 2017. Tverrplattformgruppen retter seg mot både Linux- og Windows-systemer og ser ut til å foretrekke å utnytte internettvendte, sårbare enheter som en første angrepsvektor.
Hvis det finnes webservere eller nettverksadministrasjonsgrensesnitt som har svake punkter, for eksempel programvaresårbarhet eller dårlig filopplastingssikkerhet, vil APT slå til. I et tilfelle observert av ESET, ble en F5-feil – CVE-2020-5902 – brukt til å distribuere en Linux-bakdør, mens BackdoorDiplomacy i en annen vedtok Microsoft Exchange-serverfeil for å distribuere China Chopper, et webshell.
Når de har fått adgang, vil trusselaktørene skanne enheten for lateralbevegelse; installer en tilpasset bakdør, og distribuer en rekke verktøy for å utføre overvåking og datatyveri.
Bakdøren, kalt Turian, antas å være basert på Quarian-bakdøren – skadelig programvare knyttet til angrep brukt mot diplomatiske mål i Syria og USA tilbake i 2013.
implantatet er i stand til å høste og exfiltrere systemdata, ta skjermbilder, og også overskrive, flytte/slette eller stjele filer.
Blant verktøyene som brukes er nettverkstunnelprogramvaren EarthWorm; Mimikatz, NetCat og programvare utviklet av US National Security Agency (NSA) og dumpet av ShadowBrokers, som EternalBlue, DoublePulsar og EternalRocks.
VMProtect ble brukt i de fleste tilfeller for å forsøke å skjule gruppens aktiviteter.
Diplomater kan ha å håndtere sensitiv informasjon overlevert gjennom flyttbare stasjoner og lagring. For å utvide omfanget av cyberspionasje-aktivitetene, vil BackdoorDiplomacy skanne etter flash-stasjoner og prøve å kopiere alle filene fra dem til et passordbeskyttet arkiv som deretter skyves til et kommandostyringssenter (C2) via bakdøren.
Mens BackdoorDiplomacy har blitt registrert som en APT i seg selv, ser det ut til å være andre lenker, eller i det minste felles tråder, med andre trusselgrupper.
Nettverkskrypteringsprotokollen som brukes av APT, er nesten identisk med den som ble brukt av Calypso-gruppens Whitebird bakdør, og denne skadelige programvaren ble distribuert mot diplomatiske mål i Kasakhstan og Kirgisistan i løpet av 2017 – 2020. I tillegg mener ESET at det er fellestrekk med CloudComputating/Platinum , som har rettet seg mot diplomatiske, regjerings- og militære organisasjoner over hele Asia tidligere år.
Andre kodings- og mekanismetråder ligner på Rehashed Rat og MirageFox/APT15.
I annen forskning denne måneden oppdaget Check Point Research en roman bakdør utviklet av kinesiske trusselsaktører i løpet av tre år. Skadelig programvare, kalt VictoryDll_x86.dll, ble brukt til å kompromittere et nettverk som tilhører en Sørøst-asiatisk regjerings utenriksdepartement.
Tidligere og relatert dekning
Transparent Tribe APT retter seg mot regjeringen, militæret ved å infisere USB-enheter
Ny APT-hackinggruppe utnytter 'KilllSomeOne' DLL side-loading
Promethium APT angriper bølge, ny Trojanske installatører avdekket
Har du et tips? Ta kontakt sikkert via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Beslektede emner:
Security TV Data Management CXO Data Centers 