Notícias de dispositivos móveis, gadgets, aplicativos Android

MoustachedBouncer atacando embaixadas estrangeiras usando ferramentas de hackers para casas noturnas e discotecas

MoustachedBouncer, um grupo de ciberespionagem ativo desde 2014, provavelmente realizou ataques de adversário no meio (AitM) em nível de ISP desde 2020 para comprometer seus alvos.

Para AitM, o MoustachedBouncer emprega um sistema de interceptação legal como “SORM” e, além disso, usa dois conjuntos de ferramentas que mencionamos abaixo: –

Pesquisadores de segurança cibernética da ESET identificaram recentemente que o MoustachedBouncer, supostamente apoiado pela Bielorrússia, tem como alvo diplomatas estrangeiros usando seus dois conjuntos de ferramentas que mencionamos acima dos seguintes países por quase uma década:-

Documento

MoustachedBouncer atacando embaixadas estrangeiras

Embora se suspeite que MoustachedBouncer colaborou com Winter Vivern, ativo desde 2021. Além disso, eles também manipularam o acesso do ISP da vítima e enganaram o Windows 10 com a ilusão do portal aprisionado.

A telemetria da ESET mostra que o MoustachedBouncer tem como alvo embaixadas na Bielorrússia, com funcionários de quatro países afetados: –

  • Dois da Europa
  • Um do sul da Ásia
  • Um da África

Com o tempo, os TTPs do grupo evoluíram dramaticamente e estão ativos de 2014 a 2022. Porém, os ataques AitM do grupo são observados em 2020, mas aqui o excepcional é que as verticais visadas permanecem as mesmas.

MoustachedBouncer manipula o ISP para redirecionar vítimas em intervalos de IP direcionados para enganosos e de aparência genuína Windows Atualize os URLs que mencionamos abaixo: –

  • http://updates.microsoft[.]com/

Vítimas encontram falsificação Windows Atualize páginas com alertas de segurança urgentes, nos quais os usuários recebem um botão chamado “Obter atualizações”, clicando nele aciona o download de arquivos maliciosos por meio de JavaScript executado.

A técnica AitM do MoustachedBouncer se assemelha ao Turla e ao StrongPity, que trojanizam instaladores no nível do ISP, semelhante à abordagem do MoustachedBouncer.

Nós recomendamos:  Lista dos 10 melhores aplicativos bloqueadores de chamadas para Android | Edição 2023 | Filtrar chamadas de spam

Suspeita-se que a colaboração do MoustachedBouncer com os ISPs bielorrussos para um sistema de intercepção legal é completamente semelhante ao SORM da Rússia, executado por um mandato de 2016 que exige a compatibilidade dos fornecedores de telecomunicações.

A página HTML busca JavaScript em http://updates.microsoft[.]com/jdrop.js, função de agendamento ‘jdrop’ após um segundo, que exibe um modal com um botão ‘Obter atualizações’.

Além disso, o MoustachedBouncer usa duas famílias de implantes em paralelo, mas implanta apenas uma em uma máquina como:-

  • Disco provavelmente usado com AitM
  • NightClub para vítimas protegidas por VPN fora da Bielorrússia

Além disso, NightClub tem dois recursos principais, e aqui abaixo os mencionamos: –

  • Monitorando arquivos
  • Exfiltração de dados via SMTP (e-mail)

Todos estes factores-chave confirmam que MoustachedBouncer é um actor de ameaças qualificado e visa activamente os diplomatas na Bielorrússia, empregando técnicas avançadas de comunicação C&C.

Técnicas avançadas que são observadas: –

  • Para interceptação em nível de ISP, ele usou Disco
  • Para e-mails, usou NightClub
  • Para DNS, utilizou o plugin NightClub

ESET começou a investigar em fevereiro de 2022, descobrindo um ataque cibernético a uma embaixada europeia. A análise do malware revelou um rastro que data de 2014, mostrando a furtividade do grupo em atacar diplomatas.

Table of Contents

Nós recomendamos:  7 Melhores testadores de teclado gratuitos online – 2023