14/08/23
Кибершпионская группировка под названием MoustachedBouncer использовала атаки «man-in-the-middle» (MitM), чтобы взломать системы иностранных посольств в Беларуси.
Согласно отчету ESET, исследователи обнаружили пять отдельных кампаний, проводившихся предположительно с 2014 года. С 2020 года злоумышленники осуществляют MitM-атаки через белорусских интернет-провайдеров.
В основном хакеры отдавали предпочтение двум программам — «NightClub» и «Disco», пишут в Securitylab. Они позволяют, например, красть данные, делать скриншоты и записывать аудио.
Атаки MitM
ESET полагает, что хакеры взламывают инфраструктуру провайдеров или состоят в сговоре с субъектами, у которых есть доступ к сетям белорусских операторов.
С помощью « man-in-the-middle » злоумышленники перехватывали трафик от целевых компьютеров и перенаправляли запросы на проверку подключения на поддельные HTML-страницы с обновлениями Windows.
На подложном сайте с помощью JavaScript выводится кнопка «Получить обновления». При нажатии загружается ZIP-архив.
Этот файл содержит вредоносную программу на языке Go. Она создает задачу, которая запускается каждую минуту и скачивает другой исполняемый файл — загрузчик вредоноса, якобы с IP-адреса Google Cloud.
Вредоносная программа NightClub
NightClub — первая вредоносная программа, которую эксплуатировала группировка. Ее образцы ESET обнаружил по информации на 2014, 2017, 2020 и 2022 годы.
Ранние версии могли отслеживать трафик и отправлять информацию по SMTP (протокол для передачи электронной почты), а также связываться с командным сервером. Позже авторы добавили механизм устойчивости и кейлогер.
Последняя версия NightClub, используемая хакерами в 2020-2022 гг., содержит новые модули для скриншотов, записи аудио, кейлогинга и настройки обратного туннеля DNS для связи с C2 (сервер для удалённого управления и контроля вредоносного ПО)
Обратный туннель DNS реализует дополнительные команды, работая с файлами, процессами и каталогами.
Новый NightClub использует закрытый RSA-2048 ключ для шифрования строк и хранит конфигурацию в отдельном файле.
Вредоносная программа Disco
Disco — более «свежая» программа, которой MoustachedBouncer пользуется с 2020 года.
Disco включает несколько модулей на Go, расширяющих ее функциональность. Дополнения позволяют:
- Делать скриншоты каждые 15 секунд (три модуля)
- Выполнять скрипты PowerShell (два модуля)
- Использовать уязвимость CVE-2021–1732 с помощью публичного PoC для расширения доступа
- Настраивать обратное подключение (обратный прокси) к командному серверу. Для этого применяется код из открытой библиотеки "revsocks".
Disco также использует протокол SMB, чтобы оперативно передавать украденные данные.
Инфраструктура C2 MoustachedBouncer недоступна напрямую из публичного интернета, что хорошо скрывает ее от исследователей.
Сейчас ESET советует дипломатам и сотрудникам посольств в Беларуси использовать зашифрованные VPN-туннели для доступа в интернет, чтобы блокировать вредоносную активность.
