BackdoorDiplomacy APT

BackdoorDiplomacy - APT-группировка, нацеленная на министерства иностранных дел и телекоммуникационные компании в Африке и на Ближнем Востоке. В качестве векторов первоначального заражения группа предпочитает использовать уязвимые устройства с доступом в Интернет, такие как веб-серверы и интерфейсы управления сетевым оборудованием. Попав в систему, ее операторы используют инструменты с открытым исходным кодом для сканирования среды и бокового перемещения. Интерактивный доступ достигается двумя способами: (1) через пользовательский бэкдор, который мы называем Turian и который является производным от бэкдора Quarian; и (2) в редких случаях, когда требуется более прямой и интерактивный доступ, используются определенные инструменты удаленного доступа с открытым исходным кодом. В нескольких случаях группа наблюдала, как она использует съемные носители для сбора и утечки данных. Объектами атак являются операционные системы Windows и Linux.

BackdoorDiplomacy

Жертвы были обнаружены в министерствах иностранных дел нескольких африканских стран, а также в Европе, на Ближнем Востоке и в Азии. Среди дополнительных целей - телекоммуникационные компании в Африке и одна ближневосточная благотворительная организация. В каждом случае операторы использовали схожие тактику, технику и процедуры (TTPs), но изменяли используемые инструменты даже в пределах близких географических регионов, что, вероятно, затрудняет отслеживание группы.

Векторы атаки

BackdoorDiplomacy нацеливалась на серверы с открытыми портами в Интернет, вероятно, используя непропатченные уязвимости или слабую защиту загрузки файлов. В одном конкретном случае операторы использовали уязвимость F5 BIP-IP (CVE-2020-5902) для создания бэкдора Linux. В другом случае сервер Microsoft Exchange эксплуатировался с помощью дроппера PowerShell, который устанавливал China Chopper, известную веб-оболочку, используемую различными группами с 2013 года. В третьем сервер Plesk с плохо настроенной системой безопасности загрузки файлов выполнял другую оболочку, похожую на China Chopper. Обзор цепочки эксплойтов приведен на рисунке 2.

Разведка и боковое перемещение

После первоначальной компрометации во многих случаях группа BackdoorDiplomacy использовала инструменты разведки и red-team tools с открытым исходным кодом для оценки обстановки на предмет наличия дополнительных целей и бокового перемещения. Среди задокументированных инструментов следующие:

• EarthWorm, простой сетевой туннель с функциями сервера SOCKS v5 и передачи портов
• Mimikatz, и различные версии, включая SafetyKatz
• Nbtscan, сканер командной строки NetBIOS для Windows
• NetCat, сетевая утилита для чтения и записи данных через сетевые соединения
• PortQry, инструмент для отображения состояния TCP и UDP портов на удаленных системах
• SMBTouch, используется для определения уязвимости объекта к EternalBlue

Различные инструменты из дампа инструментов АНБ ShadowBrokers, включая, но не ограничиваясь ими:

• DoublePulsar
• EternalBlue
• EternalRocks
• EternalSynergy

Обычно используемые каталоги для постановки разведки и инструментов бокового перемещения включают:

• C:\Program Files\Windows Mail\en-US\
• %LOCALAPPDATA%\Microsoft\InstallAgent\Checkpoints\
• C:\ProgramData\ESET\ESET Security\Logs\eScan\
• %USERPROFILE%\ESET\ESET Security\Logs\eScan\
• C:\Program Files\hp\hponcfg\
• C:\Program Files\hp\hpssa\
• C:\hp\hpsmh\
• C:\ProgramData\Mozilla\updates\

BackdoorDiplomacy - это группа, которая в основном нацелена на дипломатические организации на Ближнем Востоке и в Африке, реже - на телекоммуникационные компании. Их первоначальная методология атаки сосредоточена на эксплуатации уязвимых интернет-приложений на веб-серверах с целью сброса и выполнения веб-оболочки. После компрометации через веб-шелл BackdoorDiplomacy использует открытое программное обеспечение для разведки и сбора информации, а также предпочитает использовать перехват порядка поиска DLL для установки своего бэкдора Turian. Наконец, BackdoorDiplomacy использует отдельный исполняемый файл для обнаружения съемных носителей, вероятно, USB-флешек, и копирования их содержимого в корзину основного диска.

BackdoorDiplomacy делится тактикой, техникой и процедурами с другими азиатскими группами. Turian, вероятно, представляет собой следующий этап эволюции Quarian, бэкдора, который в последний раз был замечен в использовании в 2013 году против дипломатических объектов в Сирии и США. Протокол сетевого шифрования Turian практически идентичен протоколу сетевого шифрования, используемому Whitebird, бэкдором, которым управляет другая азиатская группировка Calypso. Whitebird был развернут в дипломатических организациях Казахстана и Кыргызстана в те же сроки, что и BackdoorDiplomacy (2017-2020 годы). Кроме того, BackdoorDiplomacy и APT15 используют одни и те же техники и тактики для внедрения своих бэкдоров в системы, а именно вышеупомянутый перехват порядка поиска DLL.

BackdoorDiplomacy также является кроссплатформенной группой, нацеленной на системы Windows и Linux. Linux-вариант Turian имеет те же характеристики протокола сетевого шифрования и пытается вернуть оператору обратную оболочку TTY.

Indicators of Compromise

SHA1

Webshells

IPv4

• 23.106.140.207
• 23.228.203.130
• 23.247.47.252
• 23.83.224.178
• 43.225.126.179

TTP - тактика, техника, процедуры

Тактика, методы и процедуры (TTP) обобщают предполагаемые методы MITRE ATT&CK, используемые BackdoorDiplomacy.

ID	Техника	CWE	Описание	Доверие
1	T1006	CWE-21, CWE-22, CWE-23, CWE-24	Обход имени пути	Высокий
2	T1040	CWE-294, CWE-319	Обход аутентификации путем захвата и воспроизведения	Высокий
3	T1055	CWE-74	Инъекция	Высокий
4	T1059	CWE-88, CWE-94	Межсайтовый скриптинг	Высокий
5	T1059.007	CWE-79, CWE-80	Межсайтовый скриптинг	Высокий