BackdoorDiplomacy è un gruppo che dal 2017 prende di mira i Ministeri degli Affari Esteri e compagnie di telecomunicazione in Africa e in Medio Oriente.
Questo gruppo criminale, classificato come APT (Advanced Persistent Threat) predilige dispositivi vulnerabili esposti in Internet, tipicamente webserver e interfacce di gestione di dispositivi di rete.
Una volta nel sistema, il gruppo utilizza strumenti open source per attività di scansione e lateral movement. L’accesso interattivo alle macchine viene ottenuto attraverso l’utilizzo della backdoor Turian o tramite strumenti di amministrazione remota (RAT).
Analisi ESET: https://www.welivesecurity.com/2021/06/10/backdoordiplomacy-upgrading-quarian-turian/
Somiglianze con gruppi noti
Il gruppo BackdoorDiplomacy condivide alcune caratteristiche con gruppi noti provenienti dall’Asia. In particolare, i meccanismi di compromissione messi in atto, sono molto simili ai gruppi Rehashed Rat, MirageFox (APT15) e CloudComputating.
La backdoor utilizzata (Turian), è molto simile ad una backdoor chiamata Quarian, utilizzata anch’essa in attacchi al settore della diplomazia.
Catena di Compromissione
BackdoorDiplomacy sfrutta le vulnerabilità di dispositivi esposti pubblicamente in internet, come server Microsoft Exchange o F5 BIP-IP. Seguono operazioni di riconoscimento e movimenti laterali, effettuati con l’ausilio di strumenti open source:
- EarthWorm, un semplice tunnel di rete con server SOCKS v5 e funzionalità di trasferimento porte
- Mimikatz
- Nbtscan, uno scanner da riga di comando per NetBIOS
- NetCat, un’utility di rete che legge e scrive dati attraverso connessioni di rete
- PortQry, uno strumento per mostrare lo stato di porte TCP e UDP su dispositivi remoti
- SMBTouch, usato per determinare se un obiettivo è vulnerabile ad EternalBlue
- Diversi strumenti dal dump di ShadowBrokers degli strumenti del NSA, inclusi, ma non limitati a:
- DoublePulsar
- EternalBlue
- EternalRocks
- EternalSynergy
La backdoor Turian viene caricata in memoria ed eseguita. La prima fase dell’esecuzione consiste nella generazione di un file temporaneo tmp.bat, contenente i seguenti comandi per stabilire la persistenza e cancellare il file una volta terminata l’esecuzione:
ReG aDd HKEY_CURRENT_USER\sOFtWArE\MIcrOsOft\WindOwS\CurRentVeRsiOn\RuN /v Turian_filename> /t REG_SZ /d “<location_of_Turian_on_disk>\<Turian_fiilename>” /f
ReG aDd HKEY_LOCAL_MACHINE\sOFtWArE\MIcrOsOft\WindOwS\CurRentVeRsiOn\RuN /v <Turian_filename> /t REG_SZ /d “<location_of_Turian_on_disk>\<Turian_fiilename>” /f
del %0
Dopo aver controllato la presenza del file Sharedaccess.ini e dell’indirizzo del server di Comando e Controllo al suo interno, la backdoor si connette all’indirizzo del server C2 presente nella sua configurazione.
Indicatori di Compromissione
Sha-1
3C0DB3A5194E1568E8E2164149F30763B7F3043D
32EF3F67E06C43C18E34FB56E6E62A6534D1D694
8C4D2ED23958919FE10334CCFBE8D78CD0D991A8
C0A3F78CF7F0B592EF813B15FC0F1D28D94C9604
CDD583BB6333644472733617B6DCEE2681238A11
FA6C20F00F3C57643F312E84CC7E46A0C7BABE75
5F87FBFE30CA5D6347F4462D02685B6E1E90E464
B6936BD6F36A48DD1460EEB4AB8473C7626142AC
B16393DFFB130304AD627E6872403C67DD4C0AF3
9DBBEBEBBA20B1014830B9DE4EC9331E66A159DF
564F1C32F2A2501C3C7B51A13A08969CDC3B0390
6E1BB476EE964FFF26A86E4966D7B82E7BACBF47
FBB0A4F4C90B513C4E51F0D0903C525360FAF3B7
2183AE45ADEF97500A26DBBF69D910B82BFE721A
849B970652678748CEBF3C4D90F435AE1680601F
C176F36A7FC273C9C98EA74A34B8BAB0F490E19E
626EFB29B0C58461D831858825765C05E1098786
40E73BF21E31EE99B910809B3B4715AF017DB061
255F54DE241A3D12DEBAD2DF47BAC5601895E458
A99CF07FBA62A63A44C6D5EF6B780411CF1B1073
934B3934FDB4CD55DC4EA1577F9A394E9D74D660
EF4DF176916CE5882F88059011072755E1ECC482
IP
199.247.9[.]67
43.251.105[.]218
43.251.105[.]222
162.209.167[.]154
43.225.126[.]179
23.247.47[.]252
43.251.105[.]222
162.209.167[.]189
23.83.224[.]178
23.106.140[.]207
43.251.105[.]218
45.76.120[.]84
78.141.243[.]45
78.141.196[.]159
45.77.215[.]53
207.148.8[.]82
43.251.105[.]139
43.251.105[.]139
45.77.215[.]53
152.32.180[.]34
43.251.105[.]218
23.106.140[.]207
23.228.203[.]130
Domini
systeminfo.myftp[.]name
systeminfo.oicp[.]net
dynsystem.imbbs[.]in
officeupdate.ns01[.]us
officeupdates.cleansite[.]us
web.vpnkerio[.]com
www.freedns02.dns2[.]us
pmdskm[.]top
szsz.pmdskm[.]top
Infoafrica[.]top
icta.worldmessg[.]com
winupdate.ns02[.]us
winupdate.ns02[.]us
www.intelupdate.dns1[.]us
www.intelupdate.dns1[.]us
www.intelupdate.dns1[.]us
nsupdate.dns2[.]us
bill.microsoftbuys[.]com
systeminfo.cleansite[.]info
updateip.onmypc[.]net
buffetfactory.oicp[.]io