A ESET, empresa de detecção proativa de ameaças, descobriu um novo grupo APT BackdoorDiplomacy que visa principalmente os Ministérios das Relações Exteriores do Oriente Médio e da África e, com menos frequência, empresas de telecomunicações. Seus ataques geralmente começam explorando aplicativos vulneráveis expostos à Internet em servidores da web. O BackdoorDiplomacy pode detectar mídia removível, provavelmente unidades flash USB, e copiar seu conteúdo para a lixeira da unidade principal.

“O BackdoorDiplomacy compartilha táticas, técnicas e procedimentos com outros grupos baseados na Ásia. O Turian provavelmente representa um próximo estágio na evolução do Quarian, uma porta dos fundos que foi observada em uso pela última vez em 2013 contra alvos diplomáticos na Síria e nos Estados Unidos”, disse Jean-Ian Boutin, chefe de pesquisa de ameaças da ESET.

O protocolo de criptografia de rede do Turian é quase idêntico ao usado por Whitebird, uma porta dos fundos operada pela Calypso, outro grupo com base na Ásia, que foi implantado para organizações diplomáticas no Cazaquistão e Quirguistão durante o mesmo período da BackdoorDiplomacy (2017-2020).

Vítimas da diplomacia foram descobertas em chancelarias de vários países africanos, bem como na Europa, Oriente Médio e Ásia. Alvos adicionais incluem empresas de telecomunicações na África e pelo menos uma instituição de caridade no Oriente Médio. Em cada caso, os operadores empregaram táticas, técnicas e procedimentos semelhantes (TTP), mas modificaram as ferramentas utilizadas, mesmo dentro de regiões geográficas próximas, dificultando o rastreamento do grupo.

Vítimas por país

O BackdoorDiplomacy também é um grupo de plataforma cruzada voltado para sistemas Windows e Linux. O grupo tem como alvo servidores com portas expostas à Internet, provavelmente explorando a segurança de upload de arquivos mal executados ou vulnerabilidades não corrigidas.

Um subconjunto de vítimas foi atacado com executáveis de coleta de dados projetados para pesquisar mídia removível (provavelmente unidades flash USB). O implante procura rotineiramente por essas unidades e, ao detectar a inserção de mídia removível, tenta copiar todos os arquivos nelas contidos para um arquivo protegido por senha. O BackdoorDiplomacy é capaz de roubar informações do sistema da vítima, fazer capturas de tela e gravar, mover ou excluir arquivos.