Hackers do MoustachedBouncer usam ataques AiTM para espionar diplomatas
11 de Agosto de 2023

Um grupo de ciberespionagem conhecido como 'MoustachedBouncer' tem sido observado usando ataques de adversário-no-meio (AitM) em ISPs para invadir embaixadas estrangeiras em Belarus.

De acordo com um relatório da ESET divulgado hoje, os pesquisadores observaram cinco campanhas distintas, com os autores de ameaças acreditados estar ativos desde pelo menos 2014, usando AitM em ISPs bielorrussos desde 2020.

Os dois frameworks de malware usados pelo MoustachedBouncer durante esse tempo são 'NightClub', desde 2014, e 'Disco', introduzido em 2020 para suportar roubo de dados, captura de screenshots, gravação de áudio e mais.

O recente método usado para invadir redes é utilizar ataques AitM ao nível do ISP para enganar uma instalação do Windows 10 para assumir que ela está atrás de um portal cativo.

Os ISPs confirmados como utilizados pelo MoustachedBouncer são a Beltelecom (totalmente estatal) e a Empresa Unificada AI (a maior privada).

A ESET acredita que os autores destas ameaças conseguem isso manipulando o tráfego, seja violando a infraestrutura do ISP ou colaborando com entidades que têm acesso aos provedores de serviços de rede em Belarus.

"Para faixas de IP direcionadas por MoustachedBouncer, o tráfego de rede é adulterado a nível de ISP, e a última URL redireciona para uma URL de atualização do Windows aparentemente legítima, mas falsa, explica o relatório da ESET.

"Portanto, a página de atualização falsa do Windows será exibida para uma potencial vítima ao se conectar à rede."

Quando um dispositivo Windows 10 direcionado se conecta à rede, ele redirecionará inspeções de portal cativo (usadas para verificar se um dispositivo está conectado à internet) para uma página HTML falsa de atualização do Windows.

Esta página usa JavaScript para exibir um botão "Obter Atualizações" que, quando clicado, faz com que um arquivo ZIP de atualização do sistema operacional falso seja baixado.

Este arquivo ZIP contém um malware baseado em Go que cria uma tarefa agendada que executa a cada minuto, buscando outro executável, o carregador de malware, que parece ser um endereço IP da Google Cloud, mas provavelmente é apenas uma cortina de fumaça.

Os payloads de malware que MoustachedBouncer tem usado desde 2014 são várias versões dos kits de ferramentas de malware 'NightClub' e 'Disco', mostrando uma evolução notável a cada novo lançamento.

NightClub foi o primeiro framework de malware usado pelo grupo de espionagem, com amostras distintas recuperadas pelos analistas da ESET em 2014, 2017, 2020 e 2022.

As primeiras versões possuíam monitoramento de arquivos e exfiltração de email SMTP e comunicações com servidor de comando e controle, enquanto seus autores adicionaram posteriormente um mecanismo de persistência e um keylogger.

A versão mais recente do NightClub, usada pelos hackers entre 2020 e 2022, apresenta novos módulos para tirar screenshots, gravar áudio, registrar teclas e configurar um backdoor de tunelamento DNS para comunicações C2.

O backdoor DNS implementa comandos adicionais que dão ao malware criação de diretório, leitura e funções de busca, e capacidades de manipulação de processos.

Além disso, o novo NightClub usa uma chave RSA-2048 privada codificada para criptografar suas strings, enquanto sua configuração é armazenada em um arquivo externo, dando-lhe mais discrição e versatilidade.

A ESET não conseguiu determinar o canal de infecção que MoustachedBouncer usou para o NightClub, portanto, esse aspecto permanece desconhecido.

Disco é um framework de malware mais recente que atinge as vítimas através da cadeia de ataque AitM-based descrita anteriormente, que MoustachedBouncer começou a usar em 2020.

Disco também usa compartilhamentos SMB (Server Message Block) para exfiltração de dados, um protocolo usado principalmente para acesso compartilhado a arquivos, impressoras e portas seriais, então não há transferência direta para o servidor C2.

A infraestrutura C2 de MoustachedBouncer não é acessível diretamente da internet pública, efetivamente escondendo-a de pesquisadores de segurança e protegendo-a de remoções.

A ESET recomenda que diplomatas e funcionários de embaixadas com base em Belarus usem túneis VPN criptografados de ponta a ponta ao acessar a internet para bloquear os ataques AiTM.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...