BackdoorDiplomacy – Minaccia per gli Affari Esteri

BackdoorDiplomacy è un gruppo che dal 2017 prende di mira i Ministeri degli Affari Esteri e compagnie di telecomunicazione in Africa e in Medio Oriente.

Questo gruppo criminale, classificato come APT (Advanced Persistent Threat) predilige dispositivi vulnerabili esposti in Internet, tipicamente webserver e interfacce di gestione di dispositivi di rete.

Una volta nel sistema, il gruppo utilizza strumenti open source per attività di scansione e lateral movement. L’accesso interattivo alle macchine viene ottenuto attraverso l’utilizzo della backdoor Turian o tramite strumenti di amministrazione remota (RAT).

Analisi ESET: https://www.welivesecurity.com/2021/06/10/backdoordiplomacy-upgrading-quarian-turian/

Somiglianze con gruppi noti

Il gruppo BackdoorDiplomacy condivide alcune caratteristiche con gruppi noti provenienti dall’Asia. In particolare, i meccanismi di compromissione messi in atto, sono molto simili ai gruppi Rehashed Rat, MirageFox (APT15) e CloudComputating.

La backdoor utilizzata (Turian), è molto simile ad una backdoor chiamata Quarian, utilizzata anch’essa in attacchi al settore della diplomazia.

Catena di Compromissione

BackdoorDiplomacy sfrutta le vulnerabilità di dispositivi esposti pubblicamente in internet, come server Microsoft Exchange o F5 BIP-IP. Seguono operazioni di riconoscimento e movimenti laterali, effettuati con l’ausilio di strumenti open source:

• EarthWorm, un semplice tunnel di rete con server SOCKS v5 e funzionalità di trasferimento porte
• Mimikatz
• Nbtscan, uno scanner da riga di comando per NetBIOS
• NetCat, un’utility di rete che legge e scrive dati attraverso connessioni di rete
• PortQry, uno strumento per mostrare lo stato di porte TCP e UDP su dispositivi remoti
• SMBTouch, usato per determinare se un obiettivo è vulnerabile ad EternalBlue
• Diversi strumenti dal dump di ShadowBrokers degli strumenti del NSA, inclusi, ma non limitati a:
  • DoublePulsar
  • EternalBlue
  • EternalRocks
  • EternalSynergy

La backdoor Turian viene caricata in memoria ed eseguita. La prima fase dell’esecuzione consiste nella generazione di un file temporaneo tmp.bat, contenente i seguenti comandi per stabilire la persistenza e cancellare il file una volta terminata l’esecuzione:

ReG aDd HKEY_CURRENT_USER\sOFtWArE\MIcrOsOft\WindOwS\CurRentVeRsiOn\RuN /v Turian_filename> /t REG_SZ /d “<location_of_Turian_on_disk>\<Turian_fiilename>” /f

ReG aDd HKEY_LOCAL_MACHINE\sOFtWArE\MIcrOsOft\WindOwS\CurRentVeRsiOn\RuN /v <Turian_filename> /t REG_SZ /d “<location_of_Turian_on_disk>\<Turian_fiilename>” /f

del %0

Dopo aver controllato la presenza del file Sharedaccess.ini e dell’indirizzo del server di Comando e Controllo al suo interno, la backdoor si connette all’indirizzo del server C2 presente nella sua configurazione.

Indicatori di Compromissione

Sha-1