Тази нова хакерска група има гадна изненада за африканските дипломати от Близкия изток

Неотдавна открита група за напреднала постоянна заплаха (APT) е насочена към дипломати от Африка и Близкия изток.

Разкрито в четвъртък от ESET изследователи, финансираната от държавата група, наречена BackdoorDiplomacy, е свързана с успешни атаки срещу министерства на външните работи в много африкански страни, Близкия изток, Европа и Азия – заедно с по-малка част от телекомуникационни фирми в Африка и поне една благотворителна екипировка в Близкия изток.

Смята се, че BackdoorDiplomacy е в експлоатация най-малко от 2017 г. Групата с различни платформи е насочена както към Linux, така и към Windows системи и изглежда предпочита да използва уязвими устройства с интернет, като първоначален вектор на атака.

Ако се намерят уеб сървъри или интерфейси за управление на мрежата, които имат слаби места, като софтуерни уязвимости или лоша сигурност при качване на файлове, APT ще удари. В един случай, наблюдаван от ESET, грешка в F5 – CVE-2020-5902 – беше използван за внедряване на задна врата на Linux, докато в друга BackdoorDiplomacy прие грешки на сървъра на Microsoft Exchange за разполагане на China Chopper, уеб обвивка.

След като получат достъп, участниците в заплахата ще сканират устройството за целите на страничното движение; инсталирайте персонализирана задна врата и внедрете набор от инструменти за извършване на наблюдение и кражба на данни.

Смята се, че задната врата, наречена Turian, се основава на задната врата Quarian – злонамерен софтуер, свързан с атаки, използвани срещу дипломатически цели в Сирия и САЩ през 2013 г.

Основният имплант е способен да събира и дефилтрира системни данни, да прави екранни снимки, а също така да презаписва, премества / изтрива или краде файлове.

Сред използваните инструменти е софтуерът за мрежови тунели EarthWorm; Mimikatz, NetCat и софтуер, разработен от Агенцията за национална сигурност на САЩ (NSA) и изхвърлен от ShadowBrokers, като EternalBlue, DoublePulsar и EternalRocks.

VMProtect е използван в повечето случаи, за да се опита да замъгли дейностите на групата.

Дипломатите може да се наложи да се справят с чувствителна информация, предадена чрез сменяеми устройства и хранилища. За да разшири обхвата на своите кибершпионажни дейности, BackdoorDiplomacy ще сканира за флаш устройства и ще се опита да копира всички файлове от тях в защитен с парола архив, който след това се прехвърля в център за управление и управление (C2) чрез задната врата.

Докато BackdoorDiplomacy е регистриран като APT сам по себе си, изглежда има други връзки или поне общи нишки с други групи заплахи.

Протоколът за мрежово криптиране, използван от APT, е почти идентичен с този, използван от групата на Calypso Бяла птица backdoor и този зловреден софтуер е бил разположен срещу дипломатически цели в Казахстан и Киргизстан през 2017 – 2020 г. Освен това ESET смята, че има общи черти с CloudComputating / Platinum, която е насочена към дипломатически, правителствени и военни организации в цяла Азия през предходните години.

Други улики за кодиране и механизми са подобни на Rehashed Плъх и MirageFox / APT15.

В друго изследване този месец Check Point Research откри нов заден план, разработен от китайски актьори на заплаха в продължение на три години. Зловредният софтуер, наречен VictoryDll_x86.dll, е използван за компрометиране на мрежа, принадлежаща на Министерството на външните работи на правителството на Югоизточна Азия.


? | Сигнал на +447713 025 499 или повече в Keybase: charlie0


Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com