Belarus'taki yabancı elçilikleri kesmek için ISS'lere ortada düşman (AITM) saldırıları kullanılarak 'Moustachedbouncer' adlı bir siber boyama grubu gözlenmiştir.
Bugün yayınlanan bir ESET raporuna göre, araştırmacılar beş ayrı kampanya gözlemlediler, tehdit aktörleri en az 2014'ten bu yana aktif olduğuna inanıyorlardı ve 2020'den beri Belarus ISS'lerinde AITM kullandılar.
Bu süre zarfında kullanılan iki imza kötü amaçlı yazılım çerçevesi, 2014'ten beri 'gece kulübü' ve 2020'de veri hırsızlığını desteklemek, ekran görüntülerini yakalamak, ses kaydetme ve daha fazlası 'disko'.
Ağları ihlal etmek için kullanılan son yöntem, ISS düzeyinde, hedeflenen Windows 10 kurulumunu, esir bir portalın arkasında durduğunu varsaymak için kandırmak için ISS düzeyinde ortada (AITM) saldırıları kullanmaktır.
MoustachedBouncer tarafından kullanıldığı doğrulanan ISS'lerin BeltElecom (tamamen devlete ait) ve üniter işletme yapay zekası (en büyük özel).
ESET, tehdit aktörlerinin, ISS altyapısını ihlal ederek veya Belarus'taki ağ hizmet sağlayıcılarına erişimi olan kuruluşlarla işbirliği yaparak trafiği manipüle ederek başardığına inanıyor.
"MoustachedBouncer tarafından hedeflenen IP aralıkları için, ağ trafiği ISS düzeyinde kurcalanır ve ikinci URL, görünüşte meşru, ancak sahte bir Windows UPLE URL'sine yönlendirir.
"Bu nedenle, sahte Windows Güncelleme sayfası, ağ bağlantısı üzerine potansiyel bir kurbana görüntülenecektir."
Hedeflenen bir Windows 10 cihazı ağa bağlandığında, esir portal kontrollerini (bir cihazın İnternet'e bağlanıp bağlanmadığını kontrol etmek için kullanılır) sahte Windows güncelleme HTML sayfasına yönlendirir.
Bu sayfa, tıklandığında sahte bir işletim sistemi güncelleme zip dosyasının indirilmesine neden olan bir "Güncellemeler Get" düğmesini görüntülemek için JavaScript kullanır.
Bu ZIP dosyası, her dakika yürütülen planlanmış bir görev oluşturan, Google Cloud IP adresi gibi görünen ancak muhtemelen kapak için orada olan başka bir yürütülebilir yazılım yükleyicisini getiren bir GO tabanlı kötü amaçlı yazılım içerir.
MoustachedBouncer'ın 2014'ten beri kullandığı kötü amaçlı yazılım yükleri, her yeni sürümde kayda değer bir evrim sergileyen 'gece kulübü' ve 'disko' kötü amaçlı yazılım araç setlerinin çeşitli sürümleridir.
Gece kulübü, ESET'in analistleri tarafından 2014, 2017, 2020 ve 2022'de alınan farklı örneklerle Casusluk Grubu tarafından kullanılan ilk kötü amaçlı yazılım çerçevesiydi.
İlk sürümlerde dosya izleme ve SMTP (e -posta) pessfiltration ve komut ve kontrol sunucusu iletişimi yer alırken, yazarları daha sonra bir kalıcılık mekanizması ve bir keylogger ekledi,
Bilgisayar korsanları tarafından 2020 ve 2022 yılları arasında kullanılan en son gece kulübünün sürümü, ekran görüntüleri almak, ses kaydetme, keyloglama ve C2 iletişimleri için bir DNS-tünelleme arka kapısı ayarlamak için yeni modüller içeriyor.
DNS Backdoor, kötü amaçlı yazılım dosyası, dizin oluşturma, okuma ve arama işlevleri ve işleme manipülasyon özelliklerini veren ek komutlar uygular.
Ayrıca, en yeni gece kulübü, tellerini şifrelemek için sabit kodlu özel bir RSA-2048 tuşu kullanırken, yapılandırması harici bir dosyada saklanır ve daha fazla gizli ve çok yönlülük sağlar.
ESET, MoustachedBouncer'ın gece kulübü için kullandığı enfeksiyon kanalını belirleyemedi, böylece bu nokta bilinmiyor.
Disco, Moustachedbouncer'ın 2020'de kullanmaya başladığı daha önce tarif edilen AITM tabanlı saldırı zinciri aracılığıyla kurbanlara ulaşan daha yeni bir kötü amaçlı yazılım çerçevesidir.
Disco, işlevselliğini genişleten ve kötü amaçlı yazılımların şunları sağlayan birden fazla GO tabanlı eklenti kullanır:
Disco ayrıca, öncelikle dosyalara, yazıcılara ve seri bağlantı noktalarına paylaşılan erişim için kullanılan bir protokol olan Veri Defilatasyonu için SMB (Sunucu Mesaj Bloğu) paylaşımları kullanır, bu nedenle C2 sunucusuna doğrudan aktarım yoktur.
MoustachedBouncer'ın C2 altyapısına doğrudan genel internetten erişilemez, bunu güvenlik araştırmacılarından etkili bir şekilde gizler ve yayından kaldırmalardan korur.
ESET, Belarus merkezli diplomatların ve elçilik çalışanlarının, AITM saldırılarını engellemek için internete erişirken uçtan uca şifreli VPN tünellerini kullanmasını önerir.
Lolekhosted Yönetici Netwalker Ransomware Gang'a yardım ettiği için tutuklandı
CISA: Barracuda ESG Hacks'de kullanılan yeni jakuzi arka kapı
EOL Zyxel yönlendiricide Gafgyt kötü amaçlı yazılımdan yararlanıyor
Sessiz Siber Tehditlere Karşı Koruma: Stealer Log Lifecycle'ı Keşfetmek
Bilgisayar korsanları saldırılarda açık kaynaklı Merlin Sıkıştırma Araç Seti'ni kullanır
Kaynak: Bleeping Computer