MoustachedBouncer, um grupo de ciberespionagem ativo desde 2014, provavelmente realizou ataques de adversário no meio (AitM) em nível de ISP desde 2020 para comprometer seus alvos.
Para AitM, o MoustachedBouncer emprega um sistema de interceptação legal como “SORM” e, além disso, usa dois conjuntos de ferramentas que mencionamos abaixo: –
Pesquisadores de segurança cibernética da ESET identificaram recentemente que o MoustachedBouncer, supostamente apoiado pela Bielorrússia, tem como alvo diplomatas estrangeiros usando seus dois conjuntos de ferramentas que mencionamos acima dos seguintes países por quase uma década:-
Documento
MoustachedBouncer atacando embaixadas estrangeiras
Embora se suspeite que MoustachedBouncer colaborou com Winter Vivern, ativo desde 2021. Além disso, eles também manipularam o acesso do ISP da vítima e enganaram o Windows 10 com a ilusão do portal aprisionado.
A telemetria da ESET mostra que o MoustachedBouncer tem como alvo embaixadas na Bielorrússia, com funcionários de quatro países afetados: –
- Dois da Europa
- Um do sul da Ásia
- Um da África
Com o tempo, os TTPs do grupo evoluíram dramaticamente e estão ativos de 2014 a 2022. Porém, os ataques AitM do grupo são observados em 2020, mas aqui o excepcional é que as verticais visadas permanecem as mesmas.
MoustachedBouncer manipula o ISP para redirecionar vítimas em intervalos de IP direcionados para enganosos e de aparência genuína Windows Atualize os URLs que mencionamos abaixo: –
- http://updates.microsoft[.]com/
Vítimas encontram falsificação Windows Atualize páginas com alertas de segurança urgentes, nos quais os usuários recebem um botão chamado “Obter atualizações”, clicando nele aciona o download de arquivos maliciosos por meio de JavaScript executado.
A técnica AitM do MoustachedBouncer se assemelha ao Turla e ao StrongPity, que trojanizam instaladores no nível do ISP, semelhante à abordagem do MoustachedBouncer.
Suspeita-se que a colaboração do MoustachedBouncer com os ISPs bielorrussos para um sistema de intercepção legal é completamente semelhante ao SORM da Rússia, executado por um mandato de 2016 que exige a compatibilidade dos fornecedores de telecomunicações.
A página HTML busca JavaScript em http://updates.microsoft[.]com/jdrop.js, função de agendamento ‘jdrop’ após um segundo, que exibe um modal com um botão ‘Obter atualizações’.
Além disso, o MoustachedBouncer usa duas famílias de implantes em paralelo, mas implanta apenas uma em uma máquina como:-
- Disco provavelmente usado com AitM
- NightClub para vítimas protegidas por VPN fora da Bielorrússia
Além disso, NightClub tem dois recursos principais, e aqui abaixo os mencionamos: –
- Monitorando arquivos
- Exfiltração de dados via SMTP (e-mail)
Todos estes factores-chave confirmam que MoustachedBouncer é um actor de ameaças qualificado e visa activamente os diplomatas na Bielorrússia, empregando técnicas avançadas de comunicação C&C.
Técnicas avançadas que são observadas: –
- Para interceptação em nível de ISP, ele usou Disco
- Para e-mails, usou NightClub
- Para DNS, utilizou o plugin NightClub
ESET começou a investigar em fevereiro de 2022, descobrindo um ataque cibernético a uma embaixada europeia. A análise do malware revelou um rastro que data de 2014, mostrando a furtividade do grupo em atacar diplomatas.