BackdoorDiplomacy

BackdoorDiplomacy 説明

BackdoorDiplomacyは、アフリカ、ヨーロッパ、中東、およびアジアの外交標的に対する攻撃操作の実行に焦点を当てたAPT(Advanced Persistent Threat)グループです。このグループの犠牲者には、アフリカのいくつかの国の外務省も含まれています。それほど頻繁ではありませんが、BackdoorDiplomacyは、電気通信会社や慈善団体に対する違反行為に関与しています。

BackdoorDiplomacyによって悪用される最初の感染ベクトルには、Webサーバー上の脆弱なインターネットにさらされたシステムとアプリケーションの発見が含まれます。別の攻撃で、彼らは名前のよく文書のWebシェル配信PowerShellのドロッパー経由のMicrosoft Exchangeサーバーを乱用しながら、ハッカーは、Linuxのバックドアを削除するにはF5 BIP-IPの脆弱性(CVE-2020から5902)を利用することが観察されている中国チョッパー。これらのインスタンスが明確に示しているように、BackdoorDiplomacyには、WindowsシステムとLinuxシステムの両方に影響を与える可能性のあるクロスプラットフォームの悪意のあるツールがあります。

感染後の活動

被害者のネットワークへの侵入ポイントが確立されると、BackdoorDiplomacyは、偵察と横方向の移動に多数のオープンソースツールを使用します。グループが使用した観察されたツールの中には、 EarthWorm (ネットワークトンネル、Mimikatz、Nbtscan、 NetCat) 、ネットワーク接続を介してデータを読み書きできるネットワークユーティリティ、PortQry、SMBTouch、およびShadowBrokersNSAデータダンプでリークされたいくつかのツールがあります。

最終的に、このグループは、TurianBackdoorという名前の署名された悪意のある機器を提供します。マルウェアの分析により、BackdoorDiplomacyがQuarianという名前のバックドア脅威に基づいてTurianを開発したことが明らかになりました。この初期のバックドアは、シリアと米国にある外交組織を狙った一連の攻撃で、同様の一連の標的に対して利用されました。 Backdoor Diplomacyは、侵害されたシステムに接続されているリムーバブルストレージデバイスの検出を任務とする個別の実行可能ペイロードもドロップすることに注意してください。次に、その内容をコピーして、メインドライブのごみ箱に保存できます。

他の脅威アクターとの接続

BackdoorDiplomacyは、アジア地域の他のサイバー犯罪グループと一定の重複を示しています。たとえば、Turianが使用する暗号化プロトコルは、Calypsoグループに起因する脅威ツールであるWhitebirdバックドアで見られるものとほぼ同じです。 Whitebirdは、BackdoorDiplomacy作戦と同じ期間に、カザフスタンとキルギスタンの外交組織に対する攻撃に採用されました。 BackdoorDiplomacyとAPT15という名前の別のグループの間でオーバーラップを確立することもできます。どちらも、それぞれのバックドアペイロード(主にDLL検索順序のハイジャック)を展開するときに同じ手法と手順に依存しているためです。