HACKERS MOUSTACHEDBOUNCER USAM ATAQUES AITM PARA ESPIONAR DIPLOMATAS

 

Imagem: Midjourney

Um grupo de ciberespionagem chamado 'MoustachedBouncer' foi observado usando ataques de adversário no meio (AitM) em ISPs para hackear embaixadas estrangeiras na Bielo-Rússia.

De acordo com um relatório da ESET divulgado hoje, os pesquisadores observaram cinco campanhas distintas, com os agentes de ameaças ativos desde pelo menos 2014, usando AitM em ISPs bielorrussos desde 2020.

As duas estruturas de malware de assinatura MoustachedBouncer usadas durante esse período são 'NightClub', desde 2014, e 'Disco', introduzidas em 2020 para oferecer suporte a roubo de dados, captura de tela, gravação de áudio e muito mais.

Campanhas MoustachedBouncerFonte: ESET

ataques AiTM

O método recente usado para violar redes é usar ataques de adversário no meio (AitM) no nível do ISP para enganar a instalação direcionada do Windows 10, assumindo que está atrás de um portal cativo.

Os ISPs confirmados para serem usados ​​pelo MoustachedBouncer são Beltelecom (totalmente estatal) e Unitary Enterprise AI (maior privado).

A ESET acredita que os agentes de ameaças conseguem isso manipulando o tráfego, violando a infraestrutura do ISP ou colaborando com entidades que têm acesso aos provedores de serviços de rede na Bielo-Rússia.

"Para intervalos de IP direcionados pelo MoustachedBouncer, o tráfego de rede é adulterado no nível do ISP, e o último URL redireciona para um URL do Windows Update aparentemente legítimo, mas falso, "updates.microsoft[.]com", explica o relatório da ESET.

"Portanto, a página falsa do Windows Update será exibida para uma vítima em potencial na conexão de rede."

Quando um dispositivo Windows 10 de destino se conecta à rede, ele redireciona as verificações do portal cativo (usadas para verificar se um dispositivo está conectado à Internet) para uma página HTML falsa de atualização do Windows.

Esta página usa JavaScript para exibir um botão "Obter atualizações" que, quando clicado, faz com que um arquivo ZIP falso de atualização do sistema operacional seja baixado.

Este arquivo ZIP contém um malware baseado em Go que cria uma tarefa agendada que é executada a cada minuto, buscando outro executável, o carregador de malware, do que parece ser um endereço IP do Google Cloud, mas provavelmente está lá apenas para cobertura.

As cargas úteis de malware que o MoustachedBouncer usa desde 2014 são várias versões dos kits de ferramentas de malware 'NightClub' e 'Disco', apresentando uma evolução notável a cada novo lançamento.

Cadeia de infecção observadaFonte: ESET

Malware Nightclub

NightClub foi a primeira estrutura de malware usada pelo grupo de espionagem, com amostras distintas recuperadas pelos analistas da ESET em 2014, 2017, 2020 e 2022.

As primeiras versões apresentavam monitoramento de arquivos e exfiltração de SMTP (e-mail) e comando e controle de comunicações do servidor, enquanto seus autores posteriormente adicionaram um mecanismo de persistência e um keylogger,

A versão mais recente do NightClub, usada pelos hackers entre 2020 e 2022, apresenta novos módulos para tirar screenshots, gravar áudio, keylogging e configurar um backdoor de túnel DNS para comunicações C2.

O backdoor do DNS implementa comandos adicionais que fornecem ao arquivo de malware, funções de criação de diretório, leitura e pesquisa e recursos de manipulação de processos.

Além disso, o mais novo NightClub usa uma chave RSA-2048 privada codificada para criptografar suas strings, enquanto sua configuração é armazenada em um arquivo externo, dando-lhe mais discrição e versatilidade.

A ESET não conseguiu determinar o canal de infecção que MoustachedBouncer usou para NightClub, então esse aspecto permanece desconhecido.

Disco malicioso

Disco é uma estrutura de malware mais recente que atinge as vítimas por meio da cadeia de ataque baseada em AitM descrita anteriormente, que MoustachedBouncer começou a usar em 2020.

O Disco usa vários plug-ins baseados em Go que expandem sua funcionalidade, permitindo que o malware:

Faça capturas de tela a cada 15 segundos (três módulos)

Executar scripts do PowerShell (dois módulos)

Explorar CVE-2021-1732 usando um PoC disponível publicamente para elevar privilégios

Configure um proxy reverso usando código inspirado na ferramenta de código aberto 'revsocks' (dois módulos)

O Disco também usa compartilhamentos SMB (Server Message Block) para exfiltração de dados, um protocolo usado principalmente para acesso compartilhado a arquivos, impressoras e portas seriais, portanto, não há transferência direta para o servidor C2.

A infraestrutura C2 do MoustachedBouncer não é acessível diretamente da Internet pública, ocultando-a efetivamente dos pesquisadores de segurança e protegendo-a de quedas.

A ESET recomenda que diplomatas e funcionários de embaixadas baseados na Bielo-Rússia usem túneis VPN criptografados de ponta a ponta ao acessar a Internet para bloquear os ataques AiTM.

Veja a noticia completa em: https://www.bleepingcomputer.com/news/security/moustachedbouncer-hackers-use-aitm-attacks-to-spy-on-diplomats/

Fonte: https://www.bleepingcomputer.com

 

Achou esse artigo interessante? Siga Samir News em Instagram, Facebook, Telegram, Twitter, App Boletim Tec e App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.

#samirnews #samir #news #boletimtec #hackers #moustachedbouncer #usam #ataques #aitm #para #espionar #diplomatas