• MoustachedBouncer is een dreigingsgroep die onlangs is ontdekt door onderzoekers van ESET. Deze groep is gespecialiseerd in het bespioneren van buitenlandse ambassades, waaronder Europese, in Wit-Rusland. De groep is zeer waarschijnlijk afgestemd op de belangen van Wit-Rusland.
• De groep is sinds 2014 actief en gebruikt sinds 2020 de adversary-in-the-middle (AitM) techniek om captive portal checks om te leiden naar een Command and Control (C&C) server en spyware af te leveren.
• ESET is van mening dat MoustachedBouncer een "legaal onderscheppingssysteem" gebruikt om de AitM-operaties uit te voeren.
• Sinds 2014 gebruikt de groep een malwareraamwerk dat we NightClub hebben genoemd. Het gebruikt e-mailprotocollen voor C&C-communicatie. Sinds 2020 gebruikt de groep parallel een tweede malwareraamwerk dat we Disco hebben genoemd.
• NightClub en Disco ondersteunen aanvullende spionageplug-ins, waaronder een screenshotter, een audiorecorder en een bestandssteler.
Sliedrecht, 10 augustus 2023 –ESET Research heeft een nieuwe cyberspionagegroep ontdekt, MoustachedBouncer. De groep is vernoemd naar zijn aanwezigheid in Wit-Rusland en is afgestemd op de belangen van de lokale overheid. De groep is al minstens sinds 2014 actief en richt zich alleen op buitenlandse ambassades, waaronder Europese, in Wit-Rusland. Sinds 2020 is MoustachedBouncer waarschijnlijk in staat om adversary-in-the-middle (AitM)-aanvallen uit te voeren op ISP-niveau , binnen Wit-Rusland, om zijn doelwitten te compromitteren. AitM-aanvallen uitgevoerd op ISP-niveau verwijzen naar een situatie waarin een kwaadwillende partij (adversary) zich tussen een internetgebruiker en hun Internet Service Provider (ISP) plaatst om communicatie of gegevens te manipuleren. De groep gebruikt twee afzonderlijke toolsets die ESET de namen NightClub en Disco heeft gegeven. Het onderzoek werd exclusief gepresenteerd tijdens de Black Hat USA 2023 conferentie op 10 augustus 2023 door ESET onderzoeker Matthieu Faou.
Volgens telemetrie van ESET richt de groep zich op buitenlandse ambassades in Wit-Rusland en ESET heeft vier landen geïdentificeerd waarvan het ambassadepersoneel het doelwit is: twee uit Europa, één uit Zuid-Azië en één uit Afrika. ESET schat in dat MoustachedBouncer zeer waarschijnlijk is afgestemd op Wit-Russische belangen en is gespecialiseerd in spionage, specifiek tegen buitenlandse ambassades in Wit-Rusland. MoustachedBouncer maakt gebruik van geavanceerde technieken voor Command and Control (C&C) communicatie , vertaald naar het Nederlands als ‚‘‘Bevel en Controle‘‘ communicatie dat verwijst naar het proces waarbij een externe entiteit of kwaadwillende partij intructies en controle uitoefent over geinfecteerde computers, netwerken of apparaten. De C&C communicatie is inclusief netwerk interceptie op ISP niveau voor het Disco-implantaat, e-mails voor het NightClub-implantaat en Domain Name System (DNS) in een van de NightClub plugins.
Hoewel ESET Research MoustachedBouncer volgt als een afzonderlijke groep, hebben we elementen gevonden die ESET met een laag vertrouwen laten inschatten dat het samenwerkt met een andere actieve spionagegroep, Winter Vivern. Zij hebben in 2023 overheidsmedewerkers van verschillende Europese landen, waaronder Polen en Oekraïne, als doelwit gekozen.
“Om hun doelwitten te compromitteren, knoeien de beheerders van MoustachedBouncer met de internettoegang van hun slachtoffers, waarschijnlijk op ISP-niveau, om Windows te laten geloven dat het zich achter een gesloten portaal bevindt. Voor IP-adressen, waar MoustachedBouncer zich op richt, wordt het netwerkverkeer omgeleid naar een ogenschijnlijk legitieme, maar valse Windows Update-pagina", zegt ESET-onderzoeker Matthieu Faou, die de nieuwe dreigersgroep ontdekte. "Deze adversary-in-the-middle techniek komt alleen voor bij een paar geselecteerde organisaties, misschien alleen ambassades, niet in het hele land. Het AitM-scenario doet ons denken aan de Turla- en StrongPity-dreigingsactoren , die op ISP-niveau on the fly software-installers hebben getrojaniseerd."
"Hoewel de compromittering van routers om AitM-aanvallen uit te voeren op ambassadenetwerken niet volledig kan worden uitgesloten, suggereert de aanwezigheid van legale onderscheppingsmogelijkheden in Wit-Rusland dat de verkeersmanipulatie op ISP-niveau gebeurt in plaats van op de routers van de doelwitten", legt de ESET-onderzoeker uit.
Sinds 2014 zijn de malwarefamilies die door MoustachedBouncer worden gebruikt geëvolueerd. Een grote verandering vond plaats in 2020, toen de groep adversary-in-the-middle-aanvallen begon te gebruiken. MoustachedBouncer gebruikt de twee implantaatfamilies parallel, maar op een bepaalde machine wordt er slechts één tegelijk ingezet. ESET denkt dat Disco wordt gebruikt in combinatie met AitM-aanvallen, terwijl NightClub wordt gebruikt voor slachtoffers waarbij het onderscheppen van verkeer op ISP-niveau niet mogelijk is. Dit is niet mogelijk vanwege een mitigatie, zoals het gebruik van een end-to-end versleuteld VPN, waarbij internetverkeer buiten Wit-Rusland wordt omgeleid.
"De belangrijkste conclusie is dat organisaties in het buitenland, waar het internet niet vertrouwd kan worden, voor al hun internetverkeer een end-to-end versleutelde VPN-tunnel naar een vertrouwde locatie moeten gebruiken om eventuele netwerkinspecties te omzeilen. Ze moeten ook bijgewerkte computerbeveiligingssoftware van topkwaliteit gebruiken," adviseert Faou.
Het NightClub- implantaat gebruikt gratis e-maildiensten, namelijk de Tsjechische webmaildienst Seznam.cz en de Russische Mail.ru webmail provider, om gegevens te exfiltreren. ESET denkt dat de aanvallers hun eigen e-mailaccounts hebben aangemaakt, in plaats van legitieme accounts te compromitteren.
De dreigingsgroep richt zich op het stelen van bestanden en het monitoren van schijven, inclusief externe schijven. Tot de mogelijkheden van NightClub behoren ook het opnemen van geluid, het maken van schermafbeeldingen en het vastleggen van toetsaanslagen.
Bekijk voor meer technische informatie over MoustachedBouncer de blogpost "MoustachedBouncer: Spionage tegen buitenlandse diplomaten in Wit-Rusland" op WeLiveSecurity. Zorg ervoor dat je ESET Research volgt op Twitter (X) voor het laatste nieuws van ESET Research
MoustachedBouncer compromis via AitM scenario
Over ESET
Al meer dan 3 decennia ontwikkelt ESET® toonaangevende IT-beveiligingssoftware en -diensten om bedrijven, kritieke infrastructuur en consumenten wereldwijd te beschermen tegen steeds complexere digitale bedreigingen. Inmiddels is ESET uitgegroeid tot het grootste IT-security bedrijf uit de Europese Unie met oplossingen variërend van endpoint en mobile security, tot encryptie en tweefactorauthenticatie. ESET beschermt en monitort 24/7 op de achtergrond en werkt beveiliging in real-time bij om gebruikers veilig te houden en bedrijven zonder onderbreking te laten werken. Evoluerende bedreigingen vereisen een evoluerend IT-beveiligingsbedrijf dat veilig gebruik van technologie mogelijk maakt. Dit wordt ondersteund door ESETs R&D centra wereldwijd, die zich inzetten voor onze gezamenlijke toekomst. Ga voor meer informatie naar www.eset.com/nl of volg ons op LinkedIn, Facebook,Instagram en Twitter.