Một nhóm gián điệp mạng có tên ‘MoustachedBouncer’ đã bị phát hiện sử dụng các cuộc tấn Adversary-in-the-Middle (AitM) vào các ISP để tấn công các Đại sứ quán nước ngoài ở Belarus.
Theo một báo cáo của ESET được công bố ngày 10 tháng 8, các nhà nghiên cứu đã quan sát thấy 5 chiến dịch riêng biệt, với các tác nhân đe dọa đã hoạt động ít nhất là từ năm 2014, sử dụng AitM tại các ISP của Belarus kể từ năm 2020.
Hai khung phần mềm độc hại chữ ký MoustachedBouncer được sử dụng trong thời gian này là ‘NightClub’ kể từ năm 2014 và ‘Disco’ được giới thiệu vào năm 2020 để đánh cắp dữ liệu, chụp ảnh màn hình, ghi âm, v.v.
Chiến dịch MoustachedBouncer
Nguồn: ESET
Tấn công AiTM
Phương pháp gần đây được sử dụng để xâm phạm mạng là các cuộc tấn công Adversary-in-the-Middle (AitM) các ISP để lừa cài đặt Windows 10 được nhắm mục tiêu giả định rằng nó đứng sau một cổng cố định.
MoustachedBouncer sẽ sử dụng các ISP bị tấn công là Beltelecom (thuộc sở hữu hoàn toàn của Nhà nước) và Unitary Enterprise AI (tư nhân lớn nhất).
ESET tin rằng các tác nhân đe dọa đạt được điều này bằng cách thao túng lưu lượng bằng cách vi phạm cơ sở hạ tầng ISP hoặc cộng tác với các đối tượng có quyền truy cập vào các nhà cung cấp dịch vụ mạng ở Belarus.
Báo cáo của ESET giải thích: “Đối với các dải IP được MoustachedBouncer nhắm mục tiêu, lưu lượng mạng bị can thiệp ở cấp độ ISP và URL thứ hai chuyển hướng đến một URL Windows Update có vẻ hợp pháp nhưng giả mạo, “updates.microsoft[.]com”.
“Do đó, trang Windows Update giả mạo sẽ được hiển thị cho nạn nhân tiềm năng khi kết nối mạng.”
Khi một thiết bị Windows 10 được nhắm mục tiêu kết nối với mạng, nó sẽ chuyển hướng kiểm tra cổng cố định (được sử dụng để kiểm tra xem thiết bị có được kết nối với internet hay không) sang trang HTML cập nhật Windows giả mạo.
Trang này sử dụng JavaScript để hiển thị nút “Nhận bản cập nhật – Get Updates”. Nút này khi được nhấp vào sẽ làm cho tệp ZIP cập nhật hệ điều hành giả mạo được tải xuống.
Tệp ZIP này chứa phần mềm độc hại dựa trên Go tạo tác vụ được lên lịch thực thi mỗi phút, tìm nạp một tệp thực thi khác, trình tải phần mềm độc hại, từ địa chỉ trông giống như địa chỉ IP của Google Cloud nhưng có khả năng chỉ ở đó để che đậy.
Payload phần mềm độc hại mà MoustachedBouncer đã sử dụng từ năm 2014 là các phiên bản khác nhau của bộ công cụ phần mềm độc hại ‘NightClub’ và ‘Disco’, thể hiện sự cải tiến đáng chú ý với mỗi bản phát hành mới.
Chuỗi lây nhiễm quan sát được
Nguồn: ESET
Phần mềm độc hại NightClub
NightClub là khung phần mềm độc hại đầu tiên được nhóm gián điệp sử dụng, với các mẫu riêng biệt được các nhà phân tích của ESET truy xuất vào năm 2014, 2017, 2020 và 2022.
Các phiên bản đầu tiên có chức năng giám sát tệp, lọc SMTP (email) và liên lạc với máy chủ chỉ huy và kiểm soát, trong khi các tác giả của nó sau đó đã thêm cơ chế lưu trữ lâu dài và keylogger.
Phiên bản mới nhất của NightClub, được tin tặc sử dụng từ năm 2020 đến năm 2022, có các mô-đun mới để chụp ảnh màn hình, ghi âm, ghi lại thao tác bàn phím và thiết lập backdoor đường dẫn DNS cho liên lạc C2.
Backdoor DNS thực hiện các lệnh bổ sung cung cấp tệp phần mềm độc hại, chức năng tạo thư mục, đọc và tìm kiếm cũng như khả năng thao tác xử lý.
Ngoài ra, NightClub mới nhất sử dụng khóa RSA-2048 riêng được mã hóa cứng để mã hóa các chuỗi của nó, trong khi cấu hình được lưu trữ trong một tệp bên ngoài, giúp nó có khả năng tàng hình và linh hoạt hơn.
ESET không thể xác định kênh lây nhiễm mà MoustachedBouncer đã sử dụng cho NightClub, vì vậy khía cạnh đó vẫn chưa được biết.
Phần mềm độc hại disco
Disco là một khung phần mềm độc hại mới hơn tiếp cận nạn nhân thông qua chuỗi tấn công dựa trên AitM đã mô tả trước đây, mà MoustachedBouncer bắt đầu sử dụng vào năm 2020.
Disco sử dụng nhiều plugin dựa trên Go để mở rộng chức năng của nó, cho phép phần mềm độc hại:
- Chụp ảnh màn hình 15 giây một lần (ba mô-đun)
- Thực thi tập lệnh PowerShell (hai mô-đun)
- Khai thác CVE-2021-1732 bằng PoC có sẵn công khai để nâng cao đặc quyền
- Thiết lập proxy ngược bằng cách sử dụng mã lấy ý tưởng từ công cụ mã nguồn mở ‘revsocks’ (hai mô-đun)
Disco cũng sử dụng chia sẻ SMB (Khối tin nhắn máy chủ) để lọc dữ liệu, một giao thức chủ yếu được sử dụng để chia sẻ quyền truy cập vào tệp, máy in và cổng nối tiếp, do đó không có chuyển trực tiếp đến máy chủ C2.
Cơ sở hạ tầng C2 của MoustachedBouncer không thể truy cập trực tiếp từ internet công cộng, ẩn nó khỏi các nhà nghiên cứu bảo mật một cách hiệu quả và bảo vệ nó khỏi bị gỡ xuống.
ESET khuyến nghị các nhà ngoại giao và nhân viên đại sứ quán có trụ sở tại Belarus sử dụng các đường dẫn VPN được mã hóa đầu cuối khi truy cập internet để chặn các cuộc tấn công AiTM.
Nguồn: bleepingcomputer.com
Vina Aspire là nhà cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Tel: +84 944 004 666 | Fax: +84 28 3535 0668 | Website: www.vina-aspire.com
Vina Aspire – Vững bảo mật, trọn niềm tin
Nguồn : https://www.john-partners.us/tin-tac-moustachedbouncer-su-dung-cac-cuoc-tan-cong-aitm-de-theo-doi-cac-nha-ngoai-giao
