شرکت ایست (ESET) در گزارشی به بررسی بدافزار یک گروه APT پرداخته که به گفته این شرکت حداقل از سال ۲۰۱۷ دیپلماتها را در نقاط مختلف جهان از جمله کشورهایی در آفریقا و خاورمیانه هدف قرارداده است.
به گزارش فاواپرس به نقل از مرکز مدیریت راهبردی افتا؛ این گروه که از آن با عنوان BackdoorDiplomacy یاد شده، از بدافزاری سفارشی با نام Turian برای آلودهسازی اهداف خود بهره گرفته است.
به نظر میرسد اصلیترین روش نفوذ اولیه BackdoorDiplomacy، در هر دو بستر Windows و Linux، سوءاستفاده از آسیبپذیری سرویسهای قابلدسترس بر روی اینترنت است. چنانچه سرورهای وب یا واسطهای مدیریت شبکه قربانی به دلیل وجود ضعف نرمافزاری یا عدم مقاومسازی صحیح، آسیبپذیر باشند، این مهاجمان به اجرای حمله اقدام میکنند.
در یکی از موارد، مهاجمان از آسیبپذیری CVE-۲۰۲۰-۵۹۰۲ در F۵ برای توزیع یک دربپشتی Linux استفاده کرده بودند. در نمونهای دیگر مهاجمان از حفره امنیتی Exchange برای توزیع China Chopper Webshell بهره بردهاند.
بهمحض فراهم شدن دسترسی اولیه، مهاجمان اقدام به پویش سایر دستگاهها برای گسترش دامنه آلودگی میکنند. در ادامه نیز با نصب Turian و توزیع مجموعهای از ابزارها، فعالیت کاربران سیستم قربانی را تحت رصد قرار داده و در نهایت دادهها را سرقت میکنند.
در شکل زیر سناریوی فعالیت این بدافزار، از اکسپلویت آسیبپذیری و باگذاری WebShell گرفته تا ارتباط با C&C و پویش شبکه ارایه شده است.
فهرست ابزارهای مورداستفاده در جریان انتشار BackdoorDiplomacy به این شرح گزارش شده است:
- EarthWorm که یک تونل شبکهای ساده مبتنی بر SOCKS v۵ است
- Mimikatz و نسخ مختلف ابزارهای مبتنی بر آن از جمله SafetyKatz
- Nbtscan که یک پویشگر خط فرمان NetBIOS برای Windows است
- NetCat که یک ابزار شبکهای برای خواندن و نوشتن دادهها در بستر ارتباطات شبکهای است
- PortQry که برای شناسایی دستگاههای آسیبپذیر به EternalBlue استفاده میشود
ضمن آنکه از ابزارهای مختلف ShadowBrokers شامل موارد زیر نیز بهره گرفته شده است:
- DoublePulsar
- EternalBlue
- EternalRocks
- EternalSynergy
همچنین مهاجمان از VMProtect برای مبهمسازی (Obfuscation) کدها و ابزارها استفاده کردهاند.
از دیگر فعالیتهای مخرب BackdoorDiplomacy میتوان به پویش حافظههای USB Flash متصل به دستگاه و در ادامه ارسال تمامی فایلهای آنها به سرور فرماندهی (C۲) در قالب یک فایل فشرده حاوی رمز عبور (Password-protected Archive) اشاره کرد.
اصلیترین قابلیت Turian استخراج دادهها از روی دستگاه، تصویربرداری از فعالیتهای کاربر و رونویسی، حذف/انتقال و سرقت فایلهاست.
بررسیها نشان میدهد Turian بر پایه Quarian توسعه داده شده است. از Quarian در سال ۲۰۱۳ برای اجرای حمله سایبری بر ضد دیپلماتهای سوری و آمریکایی استفاده شده بود.
روش رمزگذاری بکار گرفته شده توسط BackdoorDiplomacy بسیار مشابه با درب پشتی Whitebird است که گروه Calypso در سالهای ۲۰۱۷ تا ۲۰۲۰ از آن برای حمله به دیپلماتهای قزاقستان و قرقیزستان استفاده کرده بود. ضمن آن که شباهتهایی نیز با گروه CloudComputating/Platinum که حمله به دیپلماتها، دولتها و سازمانهای نظامی در آسیا را در کارنامه دارد مشاهده میشود. تشابهاتی نیز در سازوکار و کدنویسی گروههای Rehashed Rat و MirageFox/APT۱۵گزارش شده است.
به گفته ایست، BackdoorDiplomacy، موفق به حمله به وزارت خارجه کشورهایی در آفریقا، آسیا و اروپا، چند شرکت فعال در حوزه مخابرات در آفریقا، خاورمیانه و یک نهاد خیریه در عربستان سعودی شده است.
