BackdoorDiplomacy Hacker Group jobber med Quarian og Turian Backdoors
BackdoorDiplomacy er en nettkriminalitetsgruppe som har brukt en serie bakdører for å infisere Windows og Linux-systemer. Den første bakdør-trojanen de sluppet løs på Internett heter Quarian, som senere ble oppdatert og omarbeidet for å skape Turian Backdoor , den siste trusselen misbrukt av BackdoorDiplomacy-kriminelle. I sin nåværende kampanje ble den tyrkiske bakdøren ansatt i angrep mot diplomatiske mål i Afrika og Midtøsten. Mens angrepene deres tiltok mye oppmerksomhet nylig, mener eksperter at gruppens kampanjer kan dateres tilbake til minst 2017.
Overraskende nok stoler ikke kriminelle på at e-post med spydfiske er deres primære infeksjonsvektor. I stedet har de som mål å utnytte upatchede sårbarheter og svakheter i enheter som er koblet til Internett. Når et system er kompromittert vellykket, velger angriperne vanligvis mellom disse to tilnærmingene:
- De distribuerer Turian eller Quarian bakdør.
- De hopper over bakdøren og installerer i stedet offentlige applikasjoner for ekstern tilgang.
En av de overraskende egenskapene til BackdoorDiplomacy-kampanjene er at de ikke bare retter seg mot Windows, men også Linux-enheter. De offentlig tilgjengelige verktøyene og sårbarhetene de misbruker er Miikatz, EarthWorm, NetCat og samlingen av NSA-utnyttelser - DoublePulsar, EternalBlue og EternalRocks.
Det primære formålet med BackdoorDiplomacy-angrepene ser ut til å være datainnsamling - bortsett fra å prøve å hente filer og skjermbilder av den kompromitterte enheten, prøver deres bakdør-trojanere også å samle inn data fra flyttbare lagringsenheter.
BackdoorDiplomacy er en av de nylig identifiserte gruppene som retter seg mot enheter i Afrika og Midtøsten. Mens implantater og angrepsteknikker overlapper dem fra andre Advanced Persistent Threat (APT) -grupper, er det for tidlig å si sikkert om de er en undergruppe av et av de store navnene i nettkriminalitetsfeltet.