BackdoorDiplomatie

Description de BackdoorDiplomatie

BackdoorDiplomacy est un groupe APT (Advanced Persistent Threat) axé sur la conduite d'opérations d'attaque contre des cibles diplomatiques en Afrique, en Europe, au Moyen-Orient et en Asie. Parmi les victimes du groupe figurent également les ministères des Affaires étrangères de plusieurs pays africains. Moins fréquemment, BackdoorDiplomacy a été impliqué dans des opérations de violation contre des entreprises de télécommunications et des organisations caritatives.

Les vecteurs d'infection initiaux exploités par BackdoorDiplomacy incluent la recherche de systèmes et d'applications vulnérables exposés à Internet sur des serveurs Web. Les pirates ont été observés en train d'exploiter une vulnérabilité F5 BIP-IP (CVE-2020-5902) pour supprimer une porte dérobée Linux tandis que dans une autre attaque, ils ont abusé d'un serveur Microsoft Exchange via un compte-gouttes PowerShell qui a livré un shell Web bien documenté nommé China Chopper. . Comme ces exemples le montrent clairement, BackdoorDiplomacy dispose d'outils malveillants multiplateformes qui peuvent affecter à la fois les systèmes Windows et Linux.

Activités post-infection

Une fois qu'un point de brèche dans le réseau de la victime a été établi, BackdoorDiplomacy utilise une multitude d'outils open source pour la reconnaissance et le mouvement latéral. Parmi les outils observés utilisés par le groupe figurent EarthWorm - un tunnel réseau, Mimikatz , Nbtscan, NetCat - un utilitaire de réseau capable de lire et d'écrire des données sur des connexions réseau, PortQry, SMBTouch et plusieurs outils qui ont été divulgués dans le dump de données ShadowBrokers NSA.

En fin de compte, le groupe livre son instrument malveillant signature nommé Turian Backdoor . L'analyse du malware a révélé que BackdoorDiplomacy a développé Turian sur la base d'une menace de porte dérobée nommée Quarian. Cette porte dérobée antérieure a été utilisée contre un ensemble similaire de cibles dans une série d'attaques visant des entités diplomatiques situées en Syrie et aux États-Unis. Il convient de noter que Backdoor Diplomacy supprime également une charge utile exécutable distincte chargée de détecter tout périphérique de stockage amovible connecté au système compromis. Il peut ensuite copier leur contenu et le stocker dans la corbeille du lecteur principal.

Liens avec d'autres acteurs menaçants

BackdoorDiplomacy présente certains chevauchements avec d'autres groupes de cybercriminels de la région asiatique. Par exemple, le protocole de cryptage utilisé par Turian est presque le même que celui vu dans la porte dérobée Whitebird, un outil menaçant attribué au groupe Calypso. Whitebird a été employé dans des attaques contre des organisations diplomatiques du Kazakhstan et du Kirghizistan au cours de la même période que les opérations BackdoorDiplomacy. Un chevauchement peut également être établi entre BackdoorDiplomacy et un autre groupe nommé APT15, car tous deux s'appuient sur les mêmes techniques et procédures lors du déploiement de leurs charges utiles de porte dérobée respectives - principalement le détournement d'ordre de recherche DLL.