Wire

BackdoorDiplomacy, nieuwe APT-groep, valt diplomaten in Afrika en het Midden-Oosten aan, zegt ESET Research

ESET
ESET Research ontdekte BackdoorDiplomacy, een nieuwe APT-groep die zich voornamelijk richt op ministeries van Buitenlandse Zaken in het Midden-Oosten en Afrika, en in mindere maat op telecombedrijven. Hun aanvallen beginnen meestal met de exploitatie van kwetsbare apps die via webservers aan het internet zijn blootgesteld. Vervolgens installeren ze een aangepaste backdoor, door ESET Turian genoemd. BackdoorDiplomacy kan verwisselbare media detecteren, hoogstwaarschijnlijk USB-drives, en hun inhoud kopiëren in de prullenbak van de primaire drive. Dit onderzoek werd exclusief gepresenteerd op het jaarlijkse ESET World-event dat deze week plaatsvond.

“BackdoorDiplomacy deelt tactieken, technieken en procedures met andere groepen in Azië. Turian is waarschijnlijk een evolutie naar de volgende stap van Quarian, de backdoor die voor het laatst gezien werd in 2013 toen het tegen diplomatieke doelen in Syrië en de Verenigde Staten werd gebruikt,”aldus Jean-Ian Boutin, Head of Threat Research bij ESET, en die voor dit onderzoek samenwerkte met Adam Burgher, senior analist in Threat Intelligence bij ESET.

Het netwerkcoderingsprotocol van Turian is bijna identiek aan dat van Whitebird, een backdoor die beheerd wordt door Calypso, een andere groep uit Azië.  Whitebird werd binnen diplomatieke organisaties in Kazachstan en Kirgizië  ingezet in dezelfde periode als BackdoorDiplomacy (2017-2020).

Slachtoffers van BackdoorDiplomacy zijn ontdekt bij ministeries van Buitenlandse Zaken in verschillende Afrikaanse landen, maar ook in Europa, het Midden-Oosten en Azië. De andere doelwitten zijn telecombedrijven in Afrika en minstens één liefdadigheidsinstelling in het Midden-Oosten. In al deze gevallen gebruikten operatoren vergelijkbare tactieken, technieken en procedures (TTP’s), maar zelfs in geografisch nabije regio’s wijzigden ze de gebruikte tools,  zodat het moeilijker werd om de groep te volgen.

BackdoorDiplomacy is ook een platformonafhankelijke groep die zich zowel op Windows- als Linux-systemen richt. De groep richt zich op servers met poorten blootgesteld aan internet en die waarschijnlijk gebruikmaken van slecht geïmplementeerde beveiliging bij bestandsdownloads of niet-gepatchte kwetsbaarheden – in één geval heeft dit geleid tot een webshell met de naam China Chopper, die door verschillende groepen wordt gebruikt.

Een subset van slachtoffers is het doelwit geweest van uitvoerbare bestanden voor het verzamelen van gegevens ontwikkeld om te zoeken naar verwisselbare media (wellicht USB-drives). Het implantaat controleert regelmatig naar dergelijke schijven en probeert, wanneer het de plaatsing van verwisselbare media detecteert, alle bestanden op een met een wachtwoord beveiligd archief te kopiëren.

BackdoorDiplomacy kan van zijn slachtoffers systeeminformatie stelen, screenshots maken alsook bestanden schrijven, verplaatsen of verwijderen.

Voor meer technische details over Backdoor Diplomacy, lees de blog “BackdoorDiplomacy: Upgrading from Quarian to Turian” op www.welivesecurity.com. Voor het laatste nieuws over Reseach, volg ook ESET Research on Twitter

Gerelateerde artikelen

Volg ons

Ga jij apps uit alternatieve appstores installeren?

  • Nee, App Store of Play Store is goed genoeg (57%, 109 Votes)
  • Alleen als ik een app écht nodig heb (29%, 56 Votes)
  • Ja, ik wil apps van andere bronnen installeren (14%, 27 Votes)

Aantal stemmen: 194

Laden ... Laden ...
69% korting + 3 maanden gratis

69% korting + 3 maanden gratis

Bezoek NordVPN

Business