Un nouveau groupe de cyber-espionnage ‘BackdoorDiplomacy’ trouvé ciblant les diplomates et les opérateurs de télécommunications en Afrique et au ME

  • FrançaisFrançais



  • Les cybercriminels utilisent souvent des techniques trompeuses sophistiquées pour échapper à la détection des agences fédérales. De nombreuses campagnes internationales de cyberespionnage ont été découvertes après avoir exploité la cible ou n’ont pas été détectées. Récemment, des chercheurs en sécurité d’ESET ont découvert une opération cybercriminelle ciblant des groupes caritatifs, des organisations diplomatiques, des ministères des Affaires étrangères, des opérateurs de télécommunications et d’autres entreprises en Afrique, en Europe et au Moyen-Orient depuis 2017.

    Baptisée « BackdoorDiplomacy », la campagne ciblait à la fois les systèmes d’exploitation Windows et Linux en exploitant les appareils connectés vulnérables tels que les serveurs Web et les interfaces de gestion pour les équipements réseau. Après avoir compromis un système, les attaquants ont utilisé divers outils open source pour analyser l’environnement et les mouvements latéraux. Les acteurs de la menace ont obtenu l’accès interactif de deux manières :

    1. Grâce à une porte dérobée personnalisée “Turian”, qui est dérivée de la porte dérobée Quarian.
    2. Par le déploiement de certains outils d’accès à distance open source, lorsqu’un accès plus direct et interactif est requis. Les attaquants ont également été observés en train de cibler des supports amovibles pour la collecte et l’exfiltration de données.

    Cibler les vulnérabilités non corrigées

    Les chercheurs ont découvert que les opérateurs derrière BackdoorDiplomacy utilisaient des tactiques, techniques et procédures avancées (TTP) pour rendre leur suivi plus difficile. Le groupe a ciblé des serveurs avec des ports exposés à Internet, en exploitant probablement des bogues non corrigés ou une sécurité de téléchargement de fichiers mal appliquée.

    BackdoorDiplomacy partagerait des similitudes avec plusieurs autres cybercampagnes, en particulier en ce qui concerne la porte dérobée Turian et Quarian.

    « Dans un cas spécifique, nous avons observé que les opérateurs exploitaient une vulnérabilité F5 BIP-IP (CVE-2020-5902) pour supprimer une porte dérobée Linux. Dans un autre, un serveur Microsoft Exchange a été exploité via un compte-gouttes PowerShell qui a installé China Chopper, un shell Web bien connu utilisé, par divers groupes, depuis 2013. Dans un troisième, nous avons observé un serveur Plesk avec une sécurité de téléchargement de fichiers mal configurée. exécuter un autre shell Web similaire à China Chopper », ont déclaré les chercheurs.

    Outils de l’équipe rouge découverts

    Les attaquants de BackdoorDiplomacy ont utilisé des outils de reconnaissance open source et d’équipe rouge pour évaluer l’environnement à la recherche de cibles supplémentaires d’opportunité et de mouvement latéral. Les outils découverts incluent :

    • EarthWorm – Un tunnel réseau simple avec le serveur SOCKS v5 et les fonctionnalités de transfert de port
    • Mimikatz– Différentes versions dont SafetyKatz
    • Nbtscan – Un scanner NetBIOS en ligne de commande pour Windows
    • NetCat– Un utilitaire de mise en réseau qui lit et écrit des données sur les connexions réseau
    • PortQry– Un outil pour afficher l’état des ports TCP et UDP sur les systèmes distants
    • SMBTouch – Utilisé pour déterminer si une cible est vulnérable à EternalBlue

    Un outil/boîte à outils red-team est une plate-forme de sécurité offensive utilisée par les red teamers (qui sont pour la plupart des cybercriminels) pour effectuer des opérations réseau avancées et exploiter la cible.

    Expliquant les activités de BackdoorDiplomacy, Tony Anscombe, l’évangéliste en chef de la sécurité chez ESET a déclaré :

    Courtoisie vidéo : ESET

    « La méthodologie d’attaque initiale de BackdoorDiplomacy est axée sur l’exploitation d’applications vulnérables exposées à Internet sur des serveurs Web, pour supprimer et exécuter un shell Web. Post compromis, via le shell web, BackdoorDiplomacy déploie un logiciel open source pour la reconnaissance et la collecte d’informations et favorise l’utilisation du détournement d’ordre de recherche DLL pour installer sa porte dérobée, Turian. Enfin, BackdoorDiplomacy utilise un exécutable distinct pour détecter les supports amovibles, probablement les clés USB, et copier leur contenu dans la corbeille du lecteur principal », ont ajouté les chercheurs.

    Source

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *