Diplomacia

BackdoorDiplomacy es un grupo APT (Advanced Persistent Threat) centrado en llevar a cabo operaciones de ataque contra objetivos diplomáticos en África, Europa, Oriente Medio y Asia. Las víctimas del grupo también incluyen los Ministerios de Relaciones Exteriores de varios países africanos. Con menos frecuencia, BackdoorDiplomacy ha estado involucrado en operaciones de violación contra empresas de telecomunicaciones y organizaciones benéficas.

Los vectores de infección iniciales explotados por BackdoorDiplomacy incluyen encontrar sistemas y aplicaciones vulnerables expuestos a Internet en servidores web. Se ha observado que los piratas informáticos explotan una vulnerabilidad F5 BIP-IP (CVE-2020-5902) para soltar una puerta trasera de Linux, mientras que en otro ataque abusaron de un servidor Microsoft Exchange a través de un cuentagotas PowerShell que entregó un documento web bien documentado llamado China Chopper . Como muestran claramente estos casos, BackdoorDiplomacy tiene herramientas maliciosas multiplataforma que pueden afectar tanto a los sistemas Windows como Linux.

Actividades posteriores a la infección

Una vez que se ha establecido un punto de ruptura en la red de la víctima, BackdoorDiplomacy utiliza una multitud de herramientas de código abierto para reconocimiento y movimiento lateral. Entre las herramientas observadas utilizadas por el grupo se encuentran EarthWorm - un túnel de red, Mimikatz , Nbtscan, NetCat - utilidad de red capaz de leer y escribir datos a través de conexiones de red, PortQry, SMBTouch y varias herramientas que se filtraron en el volcado de datos ShadowBrokers NSA.

En última instancia, el grupo ofrece su instrumento malicioso característico llamado Turian Backdoor . El análisis del malware ha revelado que BackdoorDiplomacy desarrolló Turian basándose en una amenaza de puerta trasera llamada Quarian. Esta puerta trasera anterior se aprovechó contra un conjunto similar de objetivos en una serie de ataques dirigidos a entidades diplomáticas ubicadas en Siria y Estados Unidos. Cabe señalar que Backdoor Diplomacy también suelta una carga útil ejecutable separada encargada de detectar cualquier dispositivo de almacenamiento extraíble conectado al sistema comprometido. Luego puede copiar su contenido y almacenarlo en la papelera de reciclaje de la unidad principal.

Conexiones con otros actores de amenazas

BackdoorDiplomacy exhibe ciertas coincidencias con otros grupos de ciberdelincuentes de la región asiática. Por ejemplo, el protocolo de cifrado que usa Turian es casi el mismo que se ve en la puerta trasera de Whitebird, una herramienta amenazante atribuida al grupo Calypso. Whitebird fue empleado en ataques contra organizaciones diplomáticas de Kazajstán y Kirguistán durante el mismo período de tiempo que las operaciones BackdoorDiplomacy. También se puede establecer una superposición entre BackdoorDiplomacy y otro grupo llamado APT15, ya que ambos se basan en las mismas técnicas y procedimientos al implementar sus respectivas cargas útiles de puerta trasera, principalmente el secuestro de órdenes de búsqueda DLL.