Un groupe de cyberespionnage nommé « MoustachedBouncer » a été observé en train d’utiliser des attaques d’adversaire au milieu (AitM) contre des FAI pour pirater des ambassades étrangères en Biélorussie.

Selon un rapport d’ESET publié aujourd’hui, les chercheurs ont observé cinq campagnes distinctes, les acteurs de la menace étant censés être actifs depuis au moins 2014, utilisant AitM chez les FAI biélorusses depuis 2020.

Les deux frameworks de logiciels malveillants signature que MoustachedBouncer a utilisés pendant cette période sont « NightClub », depuis 2014, et « Disco », introduit en 2020 pour prendre en charge le vol de données, la capture de captures d’écran, l’enregistrement audio, etc.

Campagnes MoustachedBouncer

Attaques Ai™
La méthode récente utilisée pour violer les réseaux consiste à utiliser des attaques Adversary-in-the-middle (AitM) au niveau du FAI pour tromper l’installation ciblée de Windows 10 en supposant qu’elle se trouve derrière un portail captif.

Les FAI confirmés comme étant utilisés par MoustachedBouncer sont Beltelecom (entièrement public) et Unitary Enterprise AI (le plus grand privé).

ESET pense que les acteurs de la menace y parviennent en manipulant le trafic soit en violant l’infrastructure du FAI, soit en collaborant avec des entités qui ont accès aux fournisseurs de services réseau en Biélorussie.

« Pour les plages d’adresses IP ciblées par MoustachedBouncer, le trafic réseau est falsifié au niveau du FAI, et cette dernière URL redirige vers une URL de mise à jour Windows apparemment légitime, mais fausse, » updates.microsoft[.]com », explique le rapport d’ESET.

« Par conséquent, la fausse page Windows Update sera affichée à une victime potentielle lors de la connexion au réseau. »

Lorsqu’un appareil Windows 10 ciblé se connecte au réseau, il redirige les vérifications du portail captif (utilisé pour vérifier si un appareil est connecté à Internet) vers une page HTML de mise à jour de Fake Windows.

Cette page utilise JavaScript pour afficher un bouton « Obtenir les mises à jour » qui, lorsqu’il est cliqué, provoque le téléchargement d’un faux fichier ZIP de mise à jour du système d’exploitation.

Ce fichier ZIP contient un logiciel malveillant basé sur Go qui crée une tâche planifiée qui s’exécute toutes les minutes, récupérant un autre exécutable, le chargeur de logiciels malveillants, à partir de ce qui ressemble à une adresse IP Google Cloud, mais qui est probablement là pour se couvrir.

Les charges utiles de logiciels malveillants utilisées par MoustachedBouncer depuis 2014 sont diverses versions des kits d’outils de logiciels malveillants « NightClub » et « Disco », présentant une évolution notable à chaque nouvelle version.

Chaîne d’infection observée

Logiciel malveillant NightClub
NightClub a été le premier framework de logiciels malveillants utilisé par le groupe d’espionnage, avec des échantillons distincts récupérés par les analystes d’ESET en 2014, 2017, 2020 et 2022.

Les premières versions comportaient la surveillance des fichiers et l’exfiltration SMTP (e-mail) et les communications du serveur de commande et de contrôle, tandis que ses auteurs ont ensuite ajouté un mécanisme de persistance et un enregistreur de frappe,

La dernière version de NightClub, utilisée par les pirates entre 2020 et 2022, propose de nouveaux modules pour prendre des captures d’écran, enregistrer de l’audio, enregistrer des frappes et configurer une porte dérobée de tunnel DNS pour les communications C2.

La porte dérobée DNS implémente des commandes supplémentaires qui donnent au fichier malveillant, aux fonctions de création de répertoire, de lecture et de recherche, et aux capacités de manipulation de processus.

De plus, le plus récent NightClub utilise une clé privée RSA-2048 codée en dur pour crypter ses chaînes, tandis que sa configuration est stockée dans un fichier externe, ce qui lui donne plus de furtivité et de polyvalence.

ESET n’a pas pu déterminer le canal d’infection utilisé par MoustachedBouncer pour NightClub, cet aspect reste donc inconnu.

Logiciel malveillant Disco
Disco est un nouveau framework de logiciels malveillants atteignant les victimes via la chaîne d’attaque basée sur AitM décrite précédemment, que MoustachedBouncer a commencé à utiliser en 2020.

Disco utilise plusieurs plug-ins basés sur Go qui étendent ses fonctionnalités, permettant au logiciel malveillant de :

  • Prendre des captures d’écran toutes les 15 secondes (trois modules)
  • Exécuter des scripts PowerShell (deux modules)
  • Exploitez CVE-2021-1732 à l’aide d’un PoC accessible au public pour élever les privilèges
  • Mettre en place un reverse proxy en utilisant du code inspiré de l’outil open-source ‘revsocks’ (deux modules

Disco utilise également des partages SMB (Server Message Block) pour l’exfiltration de données, un protocole principalement utilisé pour l’accès partagé aux fichiers, imprimantes et ports série, il n’y a donc pas de transfert direct vers le serveur C2.

L’infrastructure C2 de MoustachedBouncer n’est pas accessible directement depuis l’Internet public, ce qui la cache efficacement des chercheurs en sécurité et la protège des démontages.

ESET recommande aux diplomates et aux employés des ambassades basés en Biélorussie d’utiliser des tunnels VPN cryptés de bout en bout lorsqu’ils accèdent à Internet pour bloquer les attaques AiTM.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *