Cercetătorii ESET au descoperit un nou grup APT (BackdoorDiplomacy) ce are drept țintă diplomați din Africa și Orientul Mijlociu


2021-06-11

Cercetătorii ESET au descoperit un nou grup APT (Advanced persistent threat) ce poartă numele de BackdoorDiplomacy și care vizează în primul rând ministerele de afaceri externe din Orientul Mijlociu și Africa și, ocazional, companii de telecomunicații. Atacurile lor încep de obicei prin exploatarea aplicațiilor vulnerabile expuse la internet pe serverele web, cu intenția de  instalare a unui backdoor personalizat pe care ESET îl numește Turian. BackdoorDiplomacy poate detecta mediile de stocare a datelor portabile, mai ales unitățile flash USB și poate copia conținutul acestora în recycle bin-ul unității principale. Această cercetare a fost discutată exclusiv la conferința anuală ESET World din această săptămână.

„BackdoorDiplomacy împărtășește tactici, tehnici și proceduri cu alte grupuri din Asia. Turian reprezintă probabil o etapă avansată a evoluției Quarian, backdoor-ul folosit împotriva țintelor diplomatice din Siria și Statele Unite”, spune Jean-Ian Boutin, director de cercetare amenințărilor la ESET, care a lucrat la această investigație împreună cu Adam Burgher, Senior Threat Intelligence Analyst la ESET. Protocolul de criptare a rețelei Turian este aproape identic cu protocolul de criptare a rețelei utilizat de Whitebird, un backdoor operat de Calypso, un alt grup din Asia. Whitebird a fost infiltrat în cadrul organizațiilor diplomatice din Kazahstan și Kârgâzstan în același interval de timp cu BackdoorDiplomacy (2017-2020).

Victimele BackdoorDiplomacy au fost descoperite în ministerele afacerilor externe ale mai multor țări africane, precum și în Europa, Orientul Mijlociu și Asia. Obiectivele suplimentare ale acestui grup includ companii de telecomunicații din Africa și cel puțin o organizație caritabilă din Orientul Mijlociu. În fiecare caz, operatorii au folosit tactici, tehnici și proceduri similare (TTP-uri), dar au modificat instrumentele utilizate, chiar și în regiuni geografice apropiate, pentru a  îngreuna urmărirea grupului.

BackdoorDiplomacy este, de asemenea, un grup de atac multi-platformă care vizează atât sistemele Windows, cât și sistemele Linux. Grupul vizează servere cu porturi expuse la internet, exploatând securitatea slabă a încărcării fișierelor sau vulnerabilități neactualizate - toate acestea conducând la un webshell numit China Chopper, care este utilizat de diferite grupuri. Operatorii au încercat să-și mascheze dropper-ul din backdoor și să se sustragă detecției.

O sub-categorie de victime a fost vizată cu executabile de colectare a datelor care au fost concepute pentru a căuta suporturi portabile de date (mai ales unități flash USB). Implantul malware scanează în mod obișnuit în căutarea de astfel de unități și, în momentul detectării inserării unui suport amovibil, încearcă să copieze toate fișierele de pe acestea într-o arhivă protejată prin parolă. BackdoorDiplomacy este capabil să fure informațiile de sistem ale victimei, să facă capturi de ecran și să scrie, să mute sau să șteargă fișiere.

Pentru mai multe detalii tehnice despre BackdoorDiplomacy, puteți parcurge postarea de blog “BackdoorDiplomacy: Upgrading from Quarian to Turian” de pe WeLiveSecurity. Asigurați-vă că urmăriți cele mai recente știri ale cercetătorilor ESET pe Twitter.

 

Victime după țară și pe verticală