Een recent ontdekte APT-groep (Advanced Persistent Threat) richt zich op diplomaten in Afrika en het Midden-Oosten.
Donderdag onthuld door ESET-onderzoekers, is de door de staat gesponsorde groep, genaamd BackdoorDiplomacy, in verband gebracht met succesvolle aanvallen op ministeries van Buitenlandse Zaken in tal van Afrikaanse landen, het Midden-Oosten, Europa en Azië – naast een kleinere subset van telecommunicatiebedrijven in Afrika en ten minste één liefdadigheidsinstelling in het Midden-Oosten.
BackdoorDiplomacy wordt verondersteld in gebruik te zijn sinds ten minste 2017. De platformonafhankelijke groep richt zich op zowel Linux- als Windows-systemen en lijkt de voorkeur te geven aan op internet gerichte, kwetsbare apparaten als een eerste aanvalsvector.
Als webservers of netwerkbeheerinterfaces worden gevonden die zwakke punten hebben, zoals softwarekwetsbaarheden of slechte beveiliging bij het uploaden van bestanden, zal de APT toeslaan. In één geval waargenomen door ESET, werd een F5-bug — CVE-2020-5902 — gebruikt om een Linux-backdoor te implementeren, terwijl BackdoorDiplomacy in een ander geval Microsoft Exchange-serverbugs overnam om China Chopper, een webshell, te implementeren.
Zodra ze toegang hebben verkregen, zullen de dreigingsactoren het apparaat scannen met het oog op zijwaartse beweging; installeer een aangepaste achterdeur en implementeer een reeks tools om bewaking en gegevensdiefstal uit te voeren.
De achterdeur, Turian genaamd, zou gebaseerd zijn op de Quarian-achterdeur – malware die is gekoppeld aan aanvallen die in 2013 werden gebruikt tegen diplomatieke doelen in Syrië en de VS.
De belangrijkste implant kan systeemgegevens verzamelen en exfiltreren, schermafbeeldingen maken en ook bestanden overschrijven, verplaatsen/verwijderen of stelen.
Een van de gebruikte tools is netwerktunnelsoftware EarthWorm; Mimikatz, NetCat en software ontwikkeld door de Amerikaanse National Security Agency (NSA) en gedumpt door ShadowBrokers, zoals EternalBlue, DoublePulsar en EternalRocks.
VMProtect werd in de meeste gevallen gebruikt om de activiteiten van de groep te verdoezelen.
Diplomaten kunnen te maken krijgen met gevoelige informatie die wordt overgedragen via verwisselbare schijven en opslag. Om de reikwijdte van zijn cyberspionageactiviteiten uit te breiden, scant BackdoorDiplomacy naar flashdrives en probeert alle bestanden daarvan te kopiëren naar een met een wachtwoord beveiligd archief dat vervolgens via de achterdeur naar een commando- en controlecentrum (C2) wordt gebracht.
Hoewel BackdoorDiplomacy is geregistreerd als een op zichzelf staande APT, lijken er andere links te zijn, of op zijn minst gemeenschappelijke discussies, met andere bedreigingsgroepen.
Het netwerkcoderingsprotocol dat door de APT wordt gebruikt, is bijna identiek aan het protocol dat wordt gebruikt door de Whitebird-achterdeur van de Calypso-groep, en deze malware werd in 2017-2020 ingezet tegen diplomatieke doelen in Kazachstan en Kirgizië. Bovendien is ESET van mening dat er overeenkomsten zijn met CloudComputating/Platinum , die zich in voorgaande jaren heeft gericht op diplomatieke, overheids- en militaire organisaties in heel Azië.
Andere coderings- en mechanisme-aanwijzingen zijn vergelijkbaar met Rehashed Rat en MirageFox/APT15.