ACER_082021 ACER_082021 ACER_082021 Advertisement

ESET odhalil ďalšiu APT skupinu, BackdoorDiplomacy je za útokmi na diplomatov v Afrike a na Blízkom východe

Tlačové správy
5

Výskumníci spoločnosti ESET odhalili novú APT skupinu BackdoorDiplomacy, ktorá sa zameriava najmä na ministerstvá zahraničných vecí na Blízkom východe a v Afrike. V menšom počte prípadov cieli aj na telekomunikačné spoločnosti. Útoky zvyčajne začnú zneužitím zraniteľných aplikácií na webových serveroch, ktoré sú vystavené internetovému pripojeniu. Cez ne páchatelia inštalujú vlastný backdoor, ktorý ESET pomenoval ako Turian. BackdoorDiplomacy tiež dokáže rozoznať vymeniteľné médiá, napríklad USB kľúče, a skopírovať ich obsah na špecifické miesto, do koša skompromitovaného pevného disku. Tento výskum bol exkluzívne prezentovaný na konferencii ESET World.

Obete podľa krajín a pôsobnosti

„BackdoorDiplomacy má podobné taktiky, techniky a procesy ako iné skupiny v Ázii. Turian pravdepodobne predstavuje nové vývojové štádium backdooru Quarian, ktorého použitie bolo naposledy zaznamenané v roku 2013 voči diplomatickým cieľom v Sýrii a Spojených štátoch,“ vysvetľuje Jean-Ian Boutin, vedúci výskumu hrozieb v spoločnosti ESET, ktorý pracoval na tejto analýze s Adamom Burgherom, senior analytikom spoločnosti ESET. Šifrovací protokol backdooru Turian je takmer identický ako šifrovací protokol používaný backdoorom Whitebird z dielne skupiny Calypso, ktorá tiež sídli v Ázii. Whitebird bol nasadený proti diplomatickým organizáciám v Kazachstane a Kirgizsku v tom istom časovom úseku ako BackdoorDiplomacy, teda medzi rokmi 2017 až 2020.

Obete BackdoorDiplomacy pochádzajú z radov rezortov diplomacií niektorých afrických krajín, no taktiež štátov v Európe, na Blízkom východe a v Ázii. Medzi ďalšie ciele patria telekomunikačné spoločnosti v Afrike, a najmenej jedna charitatívna organizácia na Blízkom východe. Vo všetkých prípadoch zvolili útočníci podobné taktiky, techniky a procesy, no pozmenili použité nástroje, a to dokonca aj v príbuzných regiónoch. Pravdepodobne tak chceli sťažiť trasovanie skupiny.

BackdoorDiplomacy zároveň útočí na operačné systémy Windows aj Linux. Skupina sa zameriava na servery, ktoré sú vystavené internetovému pripojeniu a pravdepodobne zneužíva ich slabé zabezpečenie alebo nezaplátané zraniteľnosti. V jednom z príkladov smerujú stopy k webshellu s názvom China Chopper, ktorý používajú viaceré skupiny. Útočníci sa pokúsili zamaskovať droppery backdooru a uniknúť detekcii.

Časť obetí sa stala terčom škodlivých kódov na zber informácií, ktoré boli navrhnuté na vyhľadávanie vymeniteľných médií (napr. USB kľúčov). Malvér pravidelne vyhľadáva takéto zariadenia a v prípade ich rozpoznania sa pokúša skopírovať všetky súbory na úložisko chránené heslom. BackdoorDiplomacy dokáže kradnúť systémové informácie obetí, vyhotovovať snímky obrazovky a prepisovať, presúvať či mazať súbory.  

Viac technických informácií si môžete prečítať v našom špeciálnom blogu.

 

Zobrazit Galériu

ESET

Všetky autorove články

5 komentárov

sedím za windows10 pracujem a iba keď bublinka vpravo dole: vaše heslo do windows10 účtu bolo zmenené, som sa divila, že prečo? reakcia na: ESET odhalil ďalšiu APT skupinu, BackdoorDiplomacy je za útokmi na diplomatov v Afrike a na Blízkom východe

17.6.2021 10:06
to ma asi hekli, keď mi vypísalo v bublinke vo windows10: vaše heslo k účtu windows10 bolo zmenené. iba som ho prebrala späť dvojfaktorom a odvtedy už nič. rýchlo som nainštalovala immunet antivírus a preskenovala počítač pomocou clam av, našlo zopár hrozieb, ktoré odstránilo, odvtedy som skenovala ním počítač viackrát a už nič nenašlo a bublinka vpravo dole vo windows10 sa neopakovala, že mi niečo prebralo heslo :( neviete niekto poradiť ako ma mohli heknúť? :( mám aktualizovaný windows10 a používam free antivír immunet: https://www.immunet.com/index
Reagovať

RE: preinštaluj windows10, ak ti bude blbnúť počítač - čistá inštalácia a máš pokoj a potom avast antivír nahoď reakcia na: sedím za windows10 pracujem a iba keď bublinka vpravo dole: vaše heslo do windows10 účtu bolo zmenené, som sa divila, že prečo?

17.6.2021 11:06
reinštalácia windows10 - čistá kópia a máš pokoj a potom avast antivírus
Reagovať

RE: RE: avast free nechcem, lebo keď programujem furt mi hádže novo vytvorený softwér z Lazarusu do karantény, nechcem avast reakcia na: RE: preinštaluj windows10, ak ti bude blbnúť počítač - čistá inštalácia a máš pokoj a potom avast antivír nahoď

17.6.2021 11:06
avast free je nanič, furt mi hádže novo vytvorený soft do karantény do vírusovej truhly a nepustí ho von, minule som programovala v Lazaruse a nešlo to. a výnimka sa tam nedá nejak pridať, takže zostanem na immunet a popozorujem ešte tento počítač, ako sa bude správať, ale díky za radu
Reagovať

RE: RE: RE: tak určite nekupuj eset, keď máš kopec free riešení reakcia na: RE: RE: avast free nechcem, lebo keď programujem furt mi hádže novo vytvorený softwér z Lazarusu do karantény, nechcem avast

17.6.2021 11:06
Tak veď určite nekupuj eset, keď máš kopec free riešení, len si ich musíš vygúgliť, eseťáci pýtajú päťdesiat eur na rok, čo si hlúpa platiť výpalníkom.

Pridať komentár

Mohlo by vás zaujímať

Mohlo by vás zaujímať