{"id":2677,"date":"2021-06-21T13:13:49","date_gmt":"2021-06-21T11:13:49","guid":{"rendered":"https:\/\/fortgale.com\/news\/?p=2677"},"modified":"2021-06-21T13:13:49","modified_gmt":"2021-06-21T11:13:49","slug":"backdoordiplomacy-minaccia-per-gli-affari-esteri","status":"publish","type":"post","link":"https:\/\/fortgale.com\/blog\/cyber-security-news\/backdoordiplomacy-minaccia-per-gli-affari-esteri\/","title":{"rendered":"BackdoorDiplomacy – Minaccia per gli Affari Esteri"},"content":{"rendered":"\n

BackdoorDiplomacy<\/strong>\u00a0\u00e8 un gruppo che dal 2017 prende di mira i Ministeri degli Affari Esteri<\/strong> e compagnie di telecomunicazione<\/strong> in Africa<\/strong> e in Medio Oriente<\/strong>.<\/p>\n

Questo gruppo criminale, classificato come APT (Advanced Persistent Threat) predilige dispositivi vulnerabili esposti in Internet, tipicamente webserver e interfacce di gestione di dispositivi di rete.<\/p>\n

Una volta nel sistema, il gruppo utilizza strumenti open source per attivit\u00e0 di scansione e lateral movement<\/em>. L’accesso interattivo alle macchine viene ottenuto attraverso l’utilizzo della backdoor Turian<\/strong> o tramite strumenti di amministrazione remota (RAT<\/strong>).<\/p>\n\n\n\n

Analisi ESET: https:\/\/www.welivesecurity.com\/2021\/06\/10\/backdoordiplomacy-upgrading-quarian-turian\/<\/a><\/p>\n\n\n\n

Somiglianze con gruppi noti<\/h2>\n\n\n\n

Il gruppo BackdoorDiplomacy <\/strong>condivide alcune caratteristiche con gruppi noti provenienti dall’Asia. In particolare, i meccanismi di compromissione messi in atto, sono molto simili ai gruppi Rehashed Rat<\/strong>, MirageFox<\/strong> (APT15<\/strong>) e CloudComputating<\/strong>.<\/p>\n\n\n\n

La backdoor utilizzata (Turian), \u00e8 molto simile ad una backdoor chiamata Quarian, utilizzata anch’essa in attacchi al settore della diplomazia.<\/p>\n\n\n\n

Catena di Compromissione<\/h2>\n\n\n\n

BackdoorDiplomacy<\/strong> sfrutta le vulnerabilit\u00e0 di dispositivi esposti pubblicamente in internet, come server Microsoft Exchange<\/strong> o F5 BIP-IP<\/strong>. Seguono operazioni di riconoscimento e movimenti laterali, effettuati con l’ausilio di strumenti open source:<\/p>\n\n\n\n

  • EarthWorm<\/strong>, un semplice tunnel di rete con server SOCKS v5 e funzionalit\u00e0 di trasferimento porte<\/li>
  • Mimikatz<\/strong><\/li>
  • Nbtscan<\/strong>, uno scanner da riga di comando per NetBIOS<\/li>
  • NetCat<\/strong>, un’utility di rete che legge e scrive dati attraverso connessioni di rete<\/li>
  • PortQry<\/strong>, uno strumento per mostrare lo stato di porte TCP e UDP su dispositivi remoti<\/li>
  • SMBTouch<\/strong>, usato per determinare se un obiettivo \u00e8 vulnerabile ad EternalBlue<\/strong><\/li>
  • Diversi strumenti dal dump di ShadowBrokers degli strumenti del NSA, inclusi, ma non limitati a:
    • DoublePulsar<\/li><\/ul>
      • EternalBlue<\/li>
      • EternalRocks<\/li>
      • EternalSynergy <\/li><\/ul><\/li><\/ul>\n\n\n\n

        La backdoor Turian viene caricata in memoria ed eseguita. La prima fase dell’esecuzione consiste nella generazione di un file temporaneo tmp.bat<\/strong>, contenente i seguenti comandi per stabilire la persistenza e cancellare il file una volta terminata l’esecuzione:<\/p>\n\n\n\n

        ReG aDd HKEY_CURRENT_USER\\sOFtWArE\\MIcrOsOft\\WindOwS\\CurRentVeRsiOn\\RuN \/v Turian_filename> \/t REG_SZ \/d \u201c<location_of_Turian_on_disk>\\<Turian_fiilename>\u201d \/f\n\nReG aDd HKEY_LOCAL_MACHINE\\sOFtWArE\\MIcrOsOft\\WindOwS\\CurRentVeRsiOn\\RuN \/v <Turian_filename> \/t REG_SZ \/d \u201c<location_of_Turian_on_disk>\\<Turian_fiilename>\u201d \/f\n\ndel %0<\/code><\/pre>\n\n\n\n
        Dopo aver controllato la presenza del file Sharedaccess.ini<\/strong> e dell’indirizzo del server di Comando e Controllo al suo interno,  la backdoor si connette all’indirizzo del server C2 presente nella sua configurazione.<\/p>\n\n\n\n
        Indicatori di Compromissione<\/h2>\n\n\n\n
        Sha-1<\/h3>\n\n\n\n
        \n
        \n
        3C0DB3A5194E1568E8E2164149F30763B7F3043D
          32EF3F67E06C43C18E34FB56E6E62A6534D1D694
          8C4D2ED23958919FE10334CCFBE8D78CD0D991A8
          C0A3F78CF7F0B592EF813B15FC0F1D28D94C9604
          CDD583BB6333644472733617B6DCEE2681238A11
          FA6C20F00F3C57643F312E84CC7E46A0C7BABE75
          5F87FBFE30CA5D6347F4462D02685B6E1E90E464
          B6936BD6F36A48DD1460EEB4AB8473C7626142AC
          B16393DFFB130304AD627E6872403C67DD4C0AF3
          9DBBEBEBBA20B1014830B9DE4EC9331E66A159DF
          564F1C32F2A2501C3C7B51A13A08969CDC3B0390
          6E1BB476EE964FFF26A86E4966D7B82E7BACBF47
          <\/p>\n<\/div>\n\n\n\n
        \n
        FBB0A4F4C90B513C4E51F0D0903C525360FAF3B7
        \n  2183AE45ADEF97500A26DBBF69D910B82BFE721A
        \n  849B970652678748CEBF3C4D90F435AE1680601F
        \n  C176F36A7FC273C9C98EA74A34B8BAB0F490E19E
        \n  626EFB29B0C58461D831858825765C05E1098786
        \n  40E73BF21E31EE99B910809B3B4715AF017DB061
        \n  255F54DE241A3D12DEBAD2DF47BAC5601895E458
        \n  A99CF07FBA62A63A44C6D5EF6B780411CF1B1073
        \n  934B3934FDB4CD55DC4EA1577F9A394E9D74D660
        \n  EF4DF176916CE5882F88059011072755E1ECC482<\/p>\n<\/div>\n<\/div>\n\n\n\n
        \n
        \n
        IP<\/h3>\n\n\n\n
        199.247.9[.]67    
        \n 43.251.105[.]218    
        \n 43.251.105[.]222
        \n 162.209.167[.]154
        \n 43.225.126[.]179    
        \n 23.247.47[.]252    
        \n 43.251.105[.]222    
        \n 162.209.167[.]189
        \n 23.83.224[.]178    
        \n 23.106.140[.]207
        \n 43.251.105[.]218
        \n 45.76.120[.]84    
        \n 78.141.243[.]45
        \n 78.141.196[.]159    
        \n 45.77.215[.]53    
        \n 207.148.8[.]82    
        \n 43.251.105[.]139    
        \n 43.251.105[.]139    
        \n 45.77.215[.]53    
        \n 152.32.180[.]34    
        \n 43.251.105[.]218    
        \n 23.106.140[.]207    
        \n 23.228.203[.]130<\/p>\n<\/div>\n\n\n\n
        \n
        Domini<\/h3>\n\n\n\n
        systeminfo.myftp[.]name
        \n systeminfo.oicp[.]net
        \n dynsystem.imbbs[.]in
        \n officeupdate.ns01[.]us
        \n officeupdates.cleansite[.]us
        \n web.vpnkerio[.]com
        \n www.freedns02.dns2[.]us
        \n pmdskm[.]top
        \n szsz.pmdskm[.]top
        \n Infoafrica[.]top
        \n icta.worldmessg[.]com
        \n winupdate.ns02[.]us
        \n winupdate.ns02[.]us
        \n www.intelupdate.dns1[.]us
        \n www.intelupdate.dns1[.]us
        \n www.intelupdate.dns1[.]us
        \n nsupdate.dns2[.]us
        \n bill.microsoftbuys[.]com
        \n systeminfo.cleansite[.]info
        \n updateip.onmypc[.]net
        \n buffetfactory.oicp[.]io<\/p>\n<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"
        Analisi ESET: https:\/\/www.welivesecurity.com\/2021\/06\/10\/backdoordiplomacy-upgrading-quarian-turian\/ Somiglianze con gruppi noti Catena di Compromissione EarthWorm, un semplice tunnel di rete con server SOCKS v5 e funzionalit\u00e0 di trasferimento porte Mimikatz Nbtscan, uno scanner da riga di comando per NetBIOS NetCat, un’utility di rete che legge e scrive dati attraverso connessioni di rete PortQry, uno strumento per mostrare lo stato […]<\/p>\n","protected":false},"author":1,"featured_media":2693,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[32,45,46,147,212,350,364],"class_list":["post-2677","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cyber-security-news","tag-apt","tag-backdoor","tag-backdoordiplomacy","tag-foreign-affairs","tag-malware","tag-threat","tag-turian"],"_links":{"self":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/2677","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/comments?post=2677"}],"version-history":[{"count":0,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/2677\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/"}],"wp:attachment":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/media?parent=2677"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/categories?post=2677"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/tags?post=2677"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}