Как программы NightClub и Disco превращают интернет-провайдеров в интернет-пособников.
Кибершпионская группировка под названием MoustachedBouncer использовала атаки «man-in-the-middle» (MitM), чтобы взломать системы иностранных посольств в Беларуси.
Согласно отчету ESET, опубликованному вчера, исследователи обнаружили пять отдельных кампаний, проводившихся предположительно с 2014 года. С 2020 года злоумышленники осуществляют MitM-атаки через белорусских интернет-провайдеров.
В основном хакеры отдавали предпочтение двум программам — «NightClub» и «Disco». Они позволяют, например, красть данные, делать скриншоты и записывать аудио.
Атаки MitM
ESET полагает, что хакеры взламывают инфраструктуру провайдеров или состоят в сговоре с субъектами, у которых есть доступ к сетям белорусских операторов.
С помощью « man-in-the-middle » злоумышленники перехватывали трафик от целевых компьютеров и перенаправляли запросы на проверку подключения на поддельные HTML-страницы с обновлениями Windows.
На фейковом сайте с помощью JavaScript выводится кнопка «Получить обновления». При нажатии загружается ZIP-архив.
Этот файл содержит вредоносную программу на языке Go. Она создает задачу, которая запускается каждую минуту и скачивает другой исполняемый файл — загрузчик вредоноса, якобы с IP-адреса Google Cloud.
Вредоносная программа NightClub
NightClub — первая вредоносная программа, которую эксплуатировала группировка. Ее образцы ESET обнаружил по информации на 2014, 2017, 2020 и 2022 годы.
Ранние версии могли отслеживать трафик и отправлять информацию по SMTP (протокол для передачи электронной почты), а также связываться с командным сервером. Позже авторы добавили механизм устойчивости и кейлогер.
Последняя версия NightClub, используемая хакерами в 2020-2022 гг., содержит новые модули для скриншотов, записи аудио, кейлогинга и настройки обратного туннеля DNS для связи с C2 (сервер для удалённого управления и контроля вредоносного ПО)
Обратный туннель DNS реализует дополнительные команды, работая с файлами, процессами и каталогами.
Новый NightClub использует закрытый RSA-2048 ключ для шифрования строк и хранит конфигурацию в отдельном файле.
Вредоносная программа Disco
Disco — более «свежая» программа, которой MoustachedBouncer пользуется с 2020 года.
Disco включает несколько модулей на Go, расширяющих ее функциональность. Дополнения позволяют:
Disco также использует протокол SMB, чтобы оперативно передавать украденные данные.
Инфраструктура C2 MoustachedBouncer недоступна напрямую из публичного интернета, что хорошо скрывает ее от исследователей.
Сейчас ESET советует дипломатам и сотрудникам посольств в Беларуси использовать зашифрованные VPN-туннели для доступа в интернет, чтобы блокировать вредоносную активность.
Первое — находим постоянно, второе — ждем вас