I ricercatori di ESET hanno scoperto diverse campagne di cyberspionaggio effettuate dal gruppo MoustachedBouncer legato al governo bielorusso. I cybercriminali hanno usato varie tecniche per colpire le ambasciate straniere presenti nel paese, installando i malware NightClub e Disco. Gli attacchi AiTM (Adversary-in-The-Middle) sono stati eseguiti con la collaborazione di alcuni ISP.
ISP complici di MoustachedBouncer
Secondo ESET, MoustachedBouncer ha manomesso il traffico a livello ISP per visualizzare un falso aggiornamento di Windows tramite captive portal. I due ISP sono Beltelecom (controllato dallo stato) e Unitary Enterprise AI (privato). Probabilmente i cybercriminali hanno preso il controllo della loro infrastruttura o ricevuto un aiuto diretto. La pagina dell’update viene mostrata solo quando l’accesso ad Internet proviene dalle ambasciate.
Se l’ignara vittima clicca sul pulsante di download viene scaricato un archivio ZIP che contiene un installer fasullo. Quest’ultimo crea un’attività pianificata e scarica il loader dei malware NightClub e Disco. NightClub è in grado di leggere le email, catturare screenshot, registrare audio e i tasti premuti, inviando tutti i dati al server C2 (command and control).
Disco usa vari plugin per le sue attività. Può scattare screenshot ogni 15 secondi, eseguire script PowerShell, sfruttare una vecchia vulnerabilità di Windows per ottenere privilegi elevati e impostare un reverse proxy. Questo malware utilizza il protocollo SMB per l’esfiltrazione dei dati, quindi non c’è nessun server C2. La soluzione migliore per evitare il cyberspionaggio e bloccare gli attacchi AiTM è cifrare il traffico con una VPN.