BackdoorDiplomacy атакует дипломатические учреждения

Компания ESET сообщает об обнаружении новой APT-группы BackdoorDiplomacy, которая нацелена на министерства иностранных дел и телекоммуникационные компании. Для установки специального бэкдора Turian киберпреступники, как правило, используют уязвимые приложения на веб-сервере. Злоумышленники могут проявлять сменные носители, в частности USB-накопители, и копировать их содержимое на основной диск.

Среди целей группы BackdoorDiplomacy - министерства иностранных дел ряда стран в Африке, а также в Европе, на Ближнем Востоке и в Азии . Кроме этого, под прицелом киберпреступников оказались телекоммуникационные компании в Африке и одна благотворительная организация на Ближнем Востоке. В каждом случае злоумышленники использовали схожие тактики и приемы, меняя инструменты даже в пределах близких географических регионов, что, вероятно, осложнило отслеживания вредоносной активности.

«BackdoorDiplomacy использует общие тактики и приемы инфицирования с другими группами киберпреступников. В частности Turian, вероятно, является следующей версией бэкдора Quarian, который последний раз использовался в 2013 году в атаках на дипломатические цели в Сирии и США », - комментирует Жан-Ян бутен, руководитель исследовательской лаборатории компании ESET.

Сетевой протокол шифрования Turian почти идентичен протокола, который используется бэкдор Whitebird группы Calypso. Whitebird был развернут в сети дипломатических организаций Казахстана и Кыргызстана в то же время, что и бэкдор BackdoorDiplomacy (2017-2020).

Атаки BackdoorDiplomacy направлены на системы как Windows, так и Linux . Группа киберпреступников нацелена на серверы с портами, доступными в Интернете, вероятно, используя недостаточную защищенность загрузки файлов или неисправленные уязвимости.

Во время некоторых атак использовались исполняемые файлы для сбора данных, которые были разработаны для поиска сменных носителей (в частности, USB-накопителей). Вредоносный код регулярно сканирует диски и, обнаружив сменный носитель, пытается скопировать все имеющиеся файлы в архив, защищенный паролем. Группа BackdoorDiplomacy может похищать информацию о системах , делать снимки экрана , а также записывать , перемещать или удалять файлы.

Читайте больше новостей об ESET