网络间谍活动：BackdoorDiplomacy渗透中东电信提供商

重点摘要

• BackdoorDiplomacy 是一个中国高级持续威胁（APT）组织，自去年八月以来通过网络间谍活动针对中东的一家电信提供商。
• 攻击者利用 Microsoft Exchange Server 的 ProxyShell 漏洞 进行入侵。
• 使用合法及定制工具进行侦察、数据收集、横向移动和规避检测。
• 研究显示攻击者首先使用 NPS 代理工具 和 IRAFAU 后门 ，随后又引入 Quarian 后门 。

根据 的报告，中国的高级持续威胁组织 BackdoorDiplomacy被认为自去年八月以来在进行一场网络间谍活动，目标锁定了一家中东的电信提供商。他们通过利用 Microsoft Exchange Server 的 实现了首次入侵。

Bitdefender的研究人员表示，攻击者利用易受攻击的二进制文件实现初步入侵，之后使用合法且定制的工具进行侦查、数据收集、横向移动及规避检测。研究者指出：“恶意工具的文件属性显示，威胁行为者首批部署的工具是 NPS 代理工具和 IRAFAU 后门。从 2022 年 2 月开始，威胁行为者又使用了另一个工具——Quarian后门，并配合许多其他扫描器和代理/隧道工具。”

此外，BackdoorDiplomacy 还在 Putty 和 DebugView 工具中使用了 Impersoni-fake-ator 工具，以便捕获系统元数据并执行解密的负载。Quarian 后门也被用于部署 AsyncRAT 。

请注意 BackdoorDiplomacy 的活动和使用的工具能够带来严重的安全威胁，建议相关电信企业提高警惕，并加强对网络安全的防护措施。