一个迄今未被记录的威胁行为者,操作近十年,被代码命名为MoustachedBouncer,已被追踪到针对白俄罗斯的外国大使馆的网络间谍攻击。
ESET安全研究员Matthieu Faou表示,“自2020年以来,MoustachedBouncer很可能已经能够在ISP级别,在白俄罗斯境内执行中间人攻击(AitM),以侵犯其目标。”他形容这个组织为有技巧和高级的。
该敌手自2014年以来一直活跃,被评估为与白俄罗斯利益一致,可能使用像SORM这样的合法拦截系统进行其AitM攻击,以及部署名为NightClub和Disco的不同工具。
这两个Windows恶意软件框架都支持其他的间谍插件,包括屏幕截图工具、音频记录器和文件窃取器。NightClub的最早样本可以追溯到2014年11月19日,当时它从乌克兰上传到VirusTotal。
自2017年6月以来,来自四个不同国家的大使馆工作人员成为目标:两个来自欧洲,一个来自南亚,一个来自东北非。其中一位欧洲外交官在2020年11月和2022年7月被两次侵犯。没有透露国家的名称。
人们还认为MoustachedBouncer与另一个被称为Winter Vivern (又名TA473或UAC-0114)的持续威胁行为者密切合作,该行为者有在欧洲和美国攻击政府官员的记录。
目前尚不清楚用于传送NightClub的确切初始感染途径。另一方面,Disco的分发是通过AitM攻击来完成的。
Faou表示:“为了侵犯他们的目标,MoustachedBouncer操作员篡改其受害者的互联网访问,可能在ISP级别,使Windows相信它位于一个固定的门户背后。” “对于MoustachedBouncer的目标IP范围,网络流量在ISP级别被篡改,后者URL重定向到一个看似合法,但伪造的Windows Update URL。”
Fou表示:“虽然不能完全排除为了在大使馆网络上进行AitM而对路由器进行侵入,但在白俄罗斯存在合法拦截能力表明,流量混乱发生在ISP级别,而不是在目标路由器上。”
据斯洛伐克的网络安全公司称,两家白俄罗斯互联网服务提供商(ISP),即Unitary Enterprise A1和Beltelecom,被怀疑参与了这次活动。
登陆伪造页面的受害者会收到一条消息,敦促他们通过点击一个按钮来安装关键安全更新。这样做时,一款流氓的基于Go的“Windows Update”安装程序将被下载到机器上,执行时,它会设置一个定时任务来运行另一个下载器二进制文件,负责获取其他插件。
这些插件通过每15秒捕获一次屏幕截图、执行PowerShell脚本和设置一个反向代理来扩展Disco的功能。
插件的一个重要方面是使用Server Message Block (SMB) 协议向不可从互联网访问的命令和控制服务器进行数据窃取,使威胁行为者的基础设施具有很高的韧性。
在2020年1月针对在白俄罗斯的东北非洲国家外交官的攻击中也使用了一个被称为SharpDisco的C#投递器,它通过反向Shell部署两个插件,以枚举连接的驱动器和窃取文件。
NightClub框架还包括一个投递器,反过来,它启动一个协调器组件来收集有趣的文件并通过Simple Mail Transfer Protocol (SMTP)发送它们。在2017年和2020年发现的NightClub的后续版本还集成了一个键盘记录器、音频记录器、屏幕截图工具和一个DNS隧道后门。
Faou解释说:“DNS隧道后门(ParametersParserer.dll)使用一个自定义协议从恶意DNS服务器发送和接收数据。” “该插件将要窃取的数据作为用于DNS请求的域的子域名的一部分添加。”
由模块化植入体支持的命令允许威胁行为者搜索匹配特定模式的文件、读取、复制和删除文件、写入文件、复制目录和创建任意进程。
人们认为,在由于匿名增强的缓解措施(例如使用端到端加密的VPN,其中互联网流量被路由到白俄罗斯之外)导致ISP级别的流量截取不可能的情况下使用NightClub。
Faou表示:“主要的结论是,在互联网不可信的外国国家的组织应该为他们所有的互联网流量使用一个到一个可信位置的端到端加密的VPN隧道,以绕过任何网络检查设备。”
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...