Es probable que una campaña maliciosa dirigida a Oriente Medio esté vinculada a Diplomacia de puerta traseraun grupo de amenaza persistente avanzada (APT) con vínculos con China.
Se dice que la actividad de espionaje, dirigida contra una empresa de telecomunicaciones en la región, comenzó el 19 de agosto de 2021 a través de la explotación exitosa de las fallas de ProxyShell en Microsoft Exchange Server.
El compromiso inicial aprovechó los binarios vulnerables a las técnicas de carga lateral, seguido del uso de una combinación de herramientas legítimas y personalizadas para realizar reconocimientos, recopilar datos, moverse lateralmente por el entorno y evadir la detección.
«Los atributos de archivo de las herramientas maliciosas mostraron que las primeras herramientas implementadas por los actores de amenazas fueron la herramienta de proxy NPS y la puerta trasera IRAFAU», dijeron los investigadores de Bitdefender, Victor Vrabie y Adrian Schipor, en un comunicado. reporte compartido con The Hacker News.
«A partir de febrero de 2022, los actores de amenazas utilizaron otra herramienta: [the] Puerta trasera de Quarian, junto con muchos otros escáneres y herramientas de túnel/proxy».
BackdoorDiplomacy fue documentado por primera vez por ESET en junio de 2021, con las intrusiones dirigidas principalmente a entidades diplomáticas y empresas de telecomunicaciones en África y Medio Oriente para implementar Quarian (también conocido como Turian o Whitebird).
Los motivos de espionaje del ataque se evidencian en el uso de secuencias de comandos keylogger y PowerShell diseñadas para recopilar contenido de correo electrónico. IRAFAU, que es el primer componente de malware entregado después de obtener un punto de apoyo, se utiliza para realizar el descubrimiento de información y el movimiento lateral.
Esto se facilita descargando y cargando archivos desde y hacia un servidor de comando y control (C2), iniciando un shell remoto y ejecutando archivos arbitrarios.
La segunda puerta trasera utilizada en la operación es una versión actualizada de Quarian, que viene con un conjunto más amplio de capacidades para controlar el host comprometido.
También se pone en uso una herramienta denominada Impersoni-fake-ator que está integrada en utilidades legítimas como Vista de depuración y Putty y está diseñado para capturar metadatos del sistema y ejecutar una carga útil descifrada recibida del servidor C2.
La intrusión se caracteriza además por el uso de software de código abierto como De ratauna herramienta de administración remota de Golang, y AsyncRATel último de los cuales probablemente se elimine a través de Quarian.
La atribución de Bitdefender del ataque a BackdoorDiplomacy proviene de superposiciones en la infraestructura C2 identificada como utilizada por el grupo en campañas anteriores.