Компания ESET сообщает об обнаружении новой APT-группы BackdoorDiplomacy, которая нацелена на министерства иностранных дел и телекоммуникационные компании. Для установки специального бэкдора Turian киберпреступники, как правило, используют уязвимые приложения на веб-сервере. Злоумышленники могут выявлять сменные носители, в частности, USB-накопители, и копировать их содержимое на основной диск.

Среди целей группы BackdoorDiplomacy – министерства иностранных дел нескольких стран в Африке, а также в Европе, на Ближнем Востоке и в Азии. Кроме этого, под прицелом киберпреступников оказались телекоммуникационные компании в Африке и одна благотворительная организация на Ближнем Востоке. В каждом случае злоумышленники использовали похожие тактики и приемы, меняя инструменты даже в пределах близких географических регионов, что, вероятно, усложнило отслеживание вредоносной активности.

BackdoorDiplomacy использует общие тактики и приемы заражения с другими группами киберпреступников. В частности, Turian, вероятно, является следующей версией бэкдора Quarian, который последний раз использовался в 2013 году в атаках на дипломатические цели в Сирии и США. Об этом говорит Жан-Ян Бутен, руководитель исследовательской лаборатории компании ESET.

Сетевой протокол шифрования Turian почти идентичен протоколу, который используется бэкдором Whitebird группы Calypso. Whitebird был развернут в сети дипломатических организаций Казахстана и Кыргызстана в то же время, что и бэкдор BackdoorDiplomacy (2017-2020).

Атаки BackdoorDiplomacy направлены на системы как Windows, так и Linux. Группа киберпреступников нацелена на серверы с портами, доступными в интернете, вероятно, используя недостаточную защищенность загрузки файлов или неисправленные уязвимости.

Во время некоторых атак использовались исполняемые файлы для сбора данных, которые были разработаны для поиска сменных носителей (в частности, USB-накопителей). Вредоносный код регулярно сканирует диски и, обнаружив сменный носитель, пытается скопировать все имеющиеся файлы в архив, защищенный паролем. Группа BackdoorDiplomacy может похищать информацию о системах, делать снимки экрана, а также записывать, перемещать или удалять файлы.