En nyligen upptäckt grupp för avancerad ihållande hot (APT) riktar sig mot diplomater i hela Afrika och Mellanöstern.
Avtäckt på torsdag av ESET-forskare har den statssponserade gruppen, kallad BackdoorDiplomacy, kopplats till framgångsrika attacker mot utrikesministerier i många afrikanska länder, Mellanöstern, Europa och Asien – tillsammans med en mindre delmängd telekommunikationsföretag Afrika och minst en välgörenhetsutrustning i Mellanöstern.
BackdoorDiplomacy tros ha varit i drift sedan åtminstone 2017. Gruppen över flera plattformar riktar sig mot både Linux- och Windows-system och verkar föredra att utnyttja Internet-vända, sårbara enheter som en första attackvektor.
Om webbservrar eller gränssnitt för nätverkshantering hittas som har svaga punkter, till exempel programvarusårbarhet eller dålig filöverföringssäkerhet, kommer APT att slå. I ett fall som observerades av ESET användes en F5-bugg – CVE-2020-5902 – för att distribuera en Linux-bakdörr, medan BackdoorDiplomacy i ett annat antog Microsoft Exchange-serverfel för att distribuera China Chopper, ett webbskal.
När de väl har fått tillträde kommer hotaktörerna att skanna enheten för sidorörelse; installera en anpassad bakdörr och distribuera en rad verktyg för övervakning och datastöld.
Bakdörren, kallad Turian, tros baseras på Quarian bakdörr – skadlig programvara kopplad till attacker mot diplomatiska mål i Syrien och USA redan 2013.
implantatet kan skörda och exfiltrera systemdata, ta skärmdumpar och även skriva över, flytta/radera eller stjäla filer.
Bland verktygen som används är programvara för nätverkstunnel EarthWorm; Mimikatz, NetCat och programvara utvecklad av US National Security Agency (NSA) och dumpad av ShadowBrokers, såsom EternalBlue, DoublePulsar och EternalRocks.
VMProtect användes i de flesta fall för att försöka fördunkla gruppens aktiviteter.
Diplomater kan behöva hantera känslig information som överlämnas via flyttbara enheter och lagring. För att bredda omfattningen av sina cyberspioneringsaktiviteter kommer BackdoorDiplomacy att söka efter flash-enheter och försöka kopiera alla filer från dem till ett lösenordsskyddat arkiv som sedan släpps ut till ett command-and-control (C2) -center via bakdörren.
Även om BackdoorDiplomacy har registrerats som en APT i sig, verkar det finnas andra länkar, eller åtminstone gemensamma trådar, med andra hotgrupper.
Nätverkskrypteringsprotokollet som används av APT är nästan identiskt med det som används av Calypso-gruppens bakdörr Whitebird, och den här skadliga programvaran distribuerades mot diplomatiska mål i Kazakstan och Kirgizistan under 2017 – 2020. Dessutom anser ESET att det finns gemensamma drag med CloudComputating/Platinum , som har riktat sig mot diplomatiska, regerings- och militära organisationer i Asien under tidigare år.
Andra kodnings- och mekanismledtrådar liknar Rehashed Rat och MirageFox/APT15.
I annan forskning i denna månad upptäckte Check Point Research en ny bakdörr som utvecklats av kinesiska hotaktörer under tre år. Skadlig kod, som kallas VictoryDll_x86.dll, användes för att kompromissa med ett nätverk som tillhör en sydostasiatiska regerings utrikesministerium.
Tidigare och relaterad täckning
Transparent Tribe APT riktar sig till regeringen, militären genom att infektera USB-enheter
Ny APT-hackgrupp utnyttjar 'KilllSomeOne' DLL-sidladdning – Promethium APT attackerar surge, new Trojaniserade installatörer avslöjade
Har du ett tips? Kontakta säkert via WhatsApp | Signal vid +447713 025 499, eller över på Keybase: charlie0
Relaterade ämnen:
Säkerhet TV-datahantering CXO-datacenter 