I ricercatori di ESET hanno individuato un nuovo gruppo di minacce persistenti avanzate (APT), denominato BackdoorDiplomacy, che prende di mira i ministeri degli Affari Esteri e le società di telecomunicazioni in Africa e in Medio Oriente.
Secondo gli esperti, BackdoorDiplomacy è attivo almeno dal 2017. Per i vettori di infezione iniziale, il gruppo favorisce lo sfruttamento di sistemi vulnerabili esposti a Internet come i server web e le interfacce di gestione per apparecchiature di rete.
Una volta su un sistema, i suoi operatori utilizzano strumenti open source per la scansione dell’ambiente e il movimento laterale. L’accesso interattivo si ottiene in due modi: tramite una backdoor personalizzata denominata Turian derivata dalla backdoor Quarian; e, in meno casi, quando è richiesto un accesso più diretto e interattivo, vengono implementati alcuni strumenti di accesso remoto open source.
Il gruppo è stato osservato prendere di mira, in diversi casi, supporti rimovibili per la raccolta e l’esfiltrazione dei dati e comunque rivolto sia i sistemi operativi Windows che Linux.
BackdoorDiplomacy condivide punti in comune con molti altri gruppi asiatici. Tra queste la connessione tra la backdoor turian e la backdoor quarian.
Quarian è stato usato per prendere di mira il Ministero degli Affari Esteri siriano nel 2012 e il Dipartimento di Stato degli Stati Uniti nel 2013. Questa tendenza a prendere di mira i ministeri degli Esteri è proseguita con con Turian.
Sono state scoperte vittime nei ministeri degli Affari Esteri di diversi paesi africani, nonché in Europa, Medio Oriente e Asia, società di telecomunicazioni in Africa e almeno un ente di beneficenza in Medio Oriente. In tutti i casi, gli attori hanno impiegato tattiche, tecniche e procedure (TTP) simili, ma hanno modificato gli strumenti utilizzati, anche all’interno di regioni geografiche vicine, rendendo probabilmente più difficile il monitoraggio del gruppo.
BackdoorDiplomacy ha preso di mira i server con porte esposte a Internet, probabilmente sfruttando vulnerabilità prive di patch o sicurezza del caricamento dei file non applicata correttamente. In un caso osservato gli operatori hanno sfruttato una vulnerabilità F5 BIP-IP (CVE-2020-5902) per eliminare una backdoor Linux. In un altro, un server Microsoft Exchange è stato sfruttato tramite un PowerShell dropper che ha installato China Chopper, una webshell ben nota in uso da vari gruppi. In un terzo caso, gli esperti hanno osservato un server Plesk con sicurezza di caricamento file configurata male un’altra webshell simile a China Chopper.
Gli strumenti nell’arsenale del gruppo BackdoorDiplomacy includono il software del tunnel di rete EarthWorm, Mimikatz, NetCat e vari strumenti trapelati da ShadowBrokers dopo l’hacking della NSA statunitense, come EternalBlue, DoublePulsar ed EternalRocks. La maggior parte degli strumenti era offuscata con VMProtect (v1.60-2.05).
“BackdoorDiplomacy è un gruppo che si rivolge principalmente alle organizzazioni diplomatiche in Medio Oriente e Africa e, meno frequentemente, alle società di telecomunicazioni. La loro metodologia di attacco iniziale è focalizzata sullo sfruttamento di applicazioni vulnerabili esposte a Internet sui server web, al fine di rilasciare ed eseguire una webshell”, conclude ESET.
https://www.welivesecurity.com/2021/06/10/backdoordiplomacy-upgrading-quarian-turian/