MoustachedBouncer: Επιθέσεις AiTM κατασκοπεύουν διπλωμάτες

Μια ομάδα κυβερνοκατασκοπείας με το όνομα “MoustachedBouncer” έχει ανακαλυφθεί ότι εκτελεί επιθέσεις adversary-in-the-middle (AitM) σε παρόχους υπηρεσιών Internet, με σκοπό να παραβιάσει ξένες πρεσβείες στη Λευκορωσία.

Δείτε επίσης: Merlin: Οι χάκερ χρησιμοποιούν την εργαλειοθήκη σε επιθέσεις

Σύμφωνα με μια έκθεση που δόθηκε στη δημοσιότητα από την ESET, έχουν παρατηρηθεί πέντε ξεχωριστές εκστρατείες από τους ερευνητές. Οι κακόβουλοι παράγοντες πιστεύεται ότι είναι ενεργοί τουλάχιστον από το 2014 και χρησιμοποιούν το AitM σε Λευκορωσικούς ISP από το 2020.

Κατά τη διάρκεια αυτής της περιόδου, δύο κακόβουλα προγράμματα ξεχωρίζουν: το «NightClub», που χρησιμοποιείται από το 2014, και το «Disco», που εμφανίστηκε το 2020. Αυτά τα προγράμματα χρησιμοποιούνται για την κλοπή δεδομένων, τη λήψη στιγμιότυπων οθόνης, την καταγραφή ήχου και άλλες ανεπιθύμητες ενέργειες.

Η πρόσφατη μέθοδος που χρησιμοποιείται για την παραβίαση δικτύων είναι η εκμετάλλευση των επιθέσεων AitM σε επίπεδο ISP, με σκοπό να παραπλανήσει την εγκατάσταση των Windows 10 και να καταλήξει στην εσφαλμένη υπόθεση ότι βρίσκεται πίσω από μία προστατευτική πύλη.

Οι παροχείς υπηρεσιών Internet (ISPs) που έχει επιβεβαιωθεί ότι χρησιμοποιούνται από το MoustachedBouncer είναι η Beltelecom (πλήρως κρατική) και η Unitary Enterprise AI (η μεγαλύτερη ιδιωτική).

Η ESET πιστεύει ότι οι απειλές προέρχονται από φορείς που εκμεταλλεύονται είτε την υποδομή των παρόχων διαδικτύου, είτε συνεργάζονται με οντότητες που έχουν πρόσβαση σε αυτούς στη Λευκορωσία. Η συνεχής εκμεττάλευση της κίνησης αυτής αποτελεί πρόκληση για την ESET.

Δείτε ακόμα: Φινλανδία: Αντιμετωπίζει τετραπλάσιες επιθέσεις ransomware από τότε που εντάχθηκε στο NATO

“Για εύρη IP που στοχεύει το MoustachedBouncer, η κίνηση δικτύου παραβιάζεται σε επίπεδο ISP και η τελευταία διεύθυνση URL ανακατευθύνει σε μια φαινομενικά νόμιμη, αλλά ψεύτικη διεύθυνση URL του Windows Update, “updates.microsoft[.]com“, εξηγεί η αναφορά της ESET.

“Επομένως, η ψεύτικη σελίδα του Windows Update θα εμφανίζεται σε ένα πιθανό θύμα κατά τη σύνδεση δικτύου.“

Όταν μια συσκευή με Windows 10 συνδέεται στο δίκτυο, θα ανακατευθύνει τους ελέγχους των πυλών (που χρησιμοποιούνται για να ελέγξουν αν μια συσκευή είναι συνδεδεμένη στο διαδίκτυο) σε μια ψεύτικη σελίδα HTML ενημέρωσης των Windows.

Αυτή η σελίδα χρησιμοποιεί JavaScript για να εμφανίσει ένα κουμπί με την επιλογή “Λήψη ενημερώσεων”. Όταν κάνετε κλικ σε αυτό το κουμπί, θα γίνει η λήψη ενός πλαστού αρχείου ZIP που περιέχει τις ενημερώσεις για το λειτουργικό σας σύστημα. Αυτό το αρχείο ZIP περιέχει κακόβουλο λογισμικό που βασίζεται σε Go και δημιουργεί μια προγραμματισμένη εργασία που εκτελείται κάθε λεπτό. Αυτή η εργασία φορτώνει ένα άλλο εκτελέσιμο αρχείο, το οποίο είναι κακόβουλο, από μια διεύθυνση IP που φαίνεται να ανήκει στο Google Cloud. Ωστόσο, υπάρχει πιθανότητα αυτή η διεύθυνση να χρησιμοποιείται μόνο για κάλυψη.

Η MoustachedBouncer χρησιμοποιεί διάφορες εκδόσεις των κακόβουλων λογισμικών “NightClub” και “Disco” από το 2014, τα οποία αναπτύσσονται συνεχώς με κάθε νέα κυκλοφορία. Αυτά τα αρνητικά φορτία παρουσιάζουν εντυπωσιακή εξέλιξη και ευελιξία.

Το Disco είναι ένα καινούργιο είδος κακόβουλου λογισμικού που προσεγγίζει τα θύματα μέσω της αλυσίδας επιθέσεων που βασίζεται στο AitM που περιγράφηκε προηγουμένως, το οποίο άρχισε να χρησιμοποιεί η MoustachedBouncer το 2020.

Δείτε επίσης: Serco: Αποκαλύπτει παραβίαση δεδομένων μετά από επιθέσεις στο MoveIT

Το Disco χρησιμοποιεί πολλαπλές προσθήκες που βασίζονται στο Go που επεκτείνουν τη λειτουργικότητά του, επιτρέποντας στο κακόβουλο λογισμικό:

• Λήψη στιγμιότυπων οθόνης κάθε 15 δευτερόλεπτα (τρεις ενότητες)
• Εκτέλεση σεναρίων PowerShell (δύο ενότητες)
• Εκμεταλλευση του CVE-2021-1732 χρησιμοποιώντας ένα δημόσια διαθέσιμο PoC για να αυξήσετε τα προνόμια
• Ρύθμιση ενός αντίστροφου διακομιστή μεσολάβησης χρησιμοποιώντας κώδικα εμπνευσμένο από το εργαλείο ανοιχτού κώδικα ‘revsocks’ (δύο ενότητες)