Китайские специалисты используют эффективные инструменты для шпионажа за ТКК-компанией.
Исследователи Bitdefender заявили , что китайская ProxyShell в Microsoft Exchange Server.
В ходе первоначальной компрометации хакеры использовали двоичные файлы, доставленные методом боковой загрузки (Sideloading), затем они использовали сочетание легитимных и хакерских инструментов для проведения разведки, сбора данных, бокового перемещения по сети и уклонения от обнаружения.
«Атрибуты файлов вредоносных инструментов показали, что первыми развернутыми инструментами были прокси-сервер NPS и бэкдор IRAFAU. Начиная с февраля 2022 года злоумышленники использовали другой инструмент — бэкдор Quarian, наряду со многими другими сканерами и инструментами прокси/туннелирования.
О шпионских мотивах атаки свидетельствует использование кейлоггеров и скриптов PowerShell, предназначенных для сбора содержимого электронной почты. Бэкдор IRAFAU используется для сбора информации и бокового перемещения. Этому способствует загрузка файлов с сервера управления и контроля (C&C) и выгрузка файлов на него, а также включение удаленной оболочки и запуск произвольных файлов.
Второй бэкдор представляет собой обновленную версию Quarian (он же Turian или Whitebird), которая обладает более широким набором возможностей для управления скомпрометированным хостом.
Также используется инструмент под названием Impersoni-fake-ator, встроенный в легитимные утилиты DebugView и Putty, и предназначенный для сбора системных метаданных и выполнения расшифрованной полезной нагрузки, полученной с C&C-сервера.
Также BackdoorDiplomacy использует инструмент удаленного администрирования ToRat и троян AsyncRAT .
BackdoorDiplomacy впервые была обнаружена ESET в июне 2021 года , при этом атаки в основном были направлены на дипломатические учреждения и телекоммуникационные компании в Африке и на Ближнем Востоке для развертывания Quarian.
Bitdefender связывает атаки с BackdoorDiplomacy из-за дублирования в C&C-инфраструктуре, которая использовалась группой в предыдущих кампаниях.
