BackdoorDiplomacy Hacker Group travaille avec les backdoors Quarian et Turian
BackdoorDiplomacy est un groupe de cybercriminalité, qui utilise une série de portes dérobées pour infecter les systèmes Windows et Linux. Le premier cheval de Troie de porte dérobée qu'ils ont lancé sur Internet s'appelle Quarian, qui a ensuite été mis à jour et retravaillé pour créer le Turian Backdoor , la menace la plus récente exploitée par les criminels de BackdoorDiplomacy. Dans leur campagne actuelle, la porte dérobée Turian a été utilisée dans des attaques contre des cibles diplomatiques en Afrique et au Moyen-Orient. Alors que leurs attaques ont attiré beaucoup d'attention récemment, les experts pensent que les campagnes du groupe pourraient remonter à au moins 2017.
Étonnamment, les criminels ne comptent pas sur les e-mails de spear-phishing pour être leur principal vecteur d'infection. Au lieu de cela, ils visent à exploiter les vulnérabilités et les faiblesses non corrigées des appareils connectés à Internet. Une fois qu'un système est compromis avec succès, les attaquants choisissent généralement entre ces deux approches :
- Ils déploient la porte dérobée Turian ou Quarian.
- Ils ignorent la porte dérobée et installent à la place des applications publiques d'accès à distance.
L'une des propriétés surprenantes des campagnes de BackdoorDiplomacy est qu'elles ciblent non seulement les appareils Windows mais également Linux. Les outils accessibles au public et les vulnérabilités dont ils abusent sont Miikatz, EarthWorm, NetCat et la collection d'exploits de la NSA - DoublePulsar, EternalBlue et EternalRocks.
L'objectif principal des attaques de BackdoorDiplomacy semble être la collecte de données - en plus d'essayer de récupérer des fichiers et des captures d'écran de l'appareil compromis, leurs chevaux de Troie de porte dérobée tentent également de collecter des données à partir de périphériques de stockage amovibles.
BackdoorDiplomacy est l'un des groupes nouvellement identifiés pour cibler des entités en Afrique et au Moyen-Orient. Bien que leurs implants et leurs techniques d'attaque se chevauchent avec ceux d'autres groupes de menaces persistantes avancées (APT), il est trop tôt pour dire avec certitude s'il s'agit d'un sous-groupe de l'un des grands noms du domaine de la cybercriminalité.