APT ομάδα στοχεύει διπλωμάτες σε Αφρική/Μέση Ανατολή

On

Ιούν 10, 2021

Ερευνητές

ασφαλείας

της

ESET

ανακάλυψαν μια νέα APT ομάδα που στοχεύει

διπλωμάτες

σε όλη την Αφρική και τη Μέση Ανατολή

. Η

hacking ομάδα

, που έχει ονομαστεί

BackdoorDiplomacy

, έχει συνδεθεί με

επιθέσεις

σε Υπουργεία Εξωτερικών σε πολλές αφρικανικές χώρες, τη Μέση Ανατολή, την

Ευρώπη

και την Ασία

. Επιπλέον, φαίνεται να είναι υπεύθυνη και για

επιθέσεις

σε

εταιρείες

τηλεπικοινωνιών στην Αφρική και σε τουλάχιστον μια φιλανθρωπική

οργάνωση

στη Μέση Ανατολή.

Δείτε επίσης:

Κινέζοι

χάκερς

ανέπτυσσαν επί 3 χρόνια backdoor για να κατασκοπεύσουν

κυβερνήσεις

hackers min 2 - APT ομάδα στοχεύει διπλωμάτες σε Αφρική/Μέση Ανατολή

Πιστεύεται ότι η ομάδα BackdoorDiplomacy δραστηριοποιείται τουλάχιστον από το 2017. Οι hackers στοχεύουν

τόσο Linux όσο και Windows

συστήματα

.

Η APT ομάδα

αναζητά web servers και network management interfaces με

ευπάθειες

ή κενά

ασφαλείας

. Σε μία

επίθεση

που παρατηρήθηκε από την ESET, η ομάδα BackdoorDiplomacy χρησιμοποίησε ένα

σφάλμα

F5 – CVE-2020-5902 – για την

ανάπτυξη

ενός Linux backdoor, ενώ, σε μια άλλη, υιοθέτησε

Microsoft Exchange

server σφάλματα για την

ανάπτυξη

του webshell China Chopper.

Μόλις αποκτούν πρόσβαση στα

συστήματα

, οι hackers σαρώνουν τη

συσκευή

για να εξαπλωθούν και αλλού, εγκαθιστούν ένα

custom backdoor

και αναπτύσσουν άλλα κακόβουλα εργαλεία για να

κατασκοπεύσουν και να κλέψουν

δεδομένα

.

Δείτε επίσης

: Microsoft/Adobe exploits: Οι αγαπημένες επιλογές των hackers

Το backdoor, που ονομάζεται

Turian

, θεωρείται ότι βασίζεται στο

Quarian

backdoor, ένα κακόβουλο λογισμικό που έχει συνδεθεί με

επιθέσεις

σε

διπλωμάτες

της Συρίας και των ΗΠΑ το 2013.

malware min 9 - APT ομάδα στοχεύει διπλωμάτες σε Αφρική/Μέση Ανατολή

Το κύριο malware είναι ικανό να συλλέγει και να κλέβει

δεδομένα

συστήματος, να λαμβάνει

screenshots

και να αντικαθιστά, να μετακινεί / διαγράφει ή κλέβει

αρχεία

.

Οι hackers χρησιμοποιούν διάφορα εργαλεία στις

επιθέσεις

τους.

Η APT ομάδα BackdoorDiplomacy πραγματοποιεί, επίσης, σαρώσεις για flash drives και προσπαθεί να αντιγράψει όλα τα

αρχεία

σε ένα archive που προστατεύεται με κωδικό πρόσβασης και το οποίο στη συνέχεια μεταφέρεται σε ένα command-and-control (C2) center μέσω του backdoor.

Δείτε επίσης

: ΗΠΑ: Κατασχέθηκαν domains που χρησιμοποίησε η APT29 σε πρόσφατη phishing εκστρατεία

Η ομάδα φαίνεται να έχει κάποια

κοινά στοιχεία με άλλες

ομάδες

.

Το network encryption protocol που χρησιμοποιείται από την BackdoorDiplomacy είναι σχεδόν πανομοιότυπο με αυτό που χρησιμοποιείται από την ομάδα

Calypso

, το οποίο επίσης χρησιμοποιούνταν για

επιθέσεις

σε

διπλωμάτες

στο Καζακστάν και το Κιργιζιστάν κατά τη διάρκεια του 2017-2020. Επιπλέον, η ESET πιστεύει ότι υπάρχουν ομοιότητες με την

Platinum

, που είχε στοχεύσει διπλωματικούς, κυβερνητικούς και στρατιωτικούς οργανισμούς σε ολόκληρη την Ασία τα προηγούμενα χρόνια.