ESET Research heeft een nieuwe cyberspionagegroep ontdekt, MoustachedBouncer, zo genoemd door zijn aanwezigheid in Wit-Rusland. Het is afgestemd op de belangen van de lokale overheid. De groep, reeds actief voor 2014 in Wit-Rusland, richt zich enkel op ambassades, waaronder Europese. Het onderzoek wordt exclusief gepresenteerd tijdens de Black Hat USA 2023-conferentie op 10 augustus 2023 door ESET-onderzoeker Matthieu Faou.
· MoustachedBouncer, een dreigingsgroep onlangs ontdekt door onderzoekers van ESET, is gespecialiseerd in spionage van ambassades, waaronder Europese, in Wit-Rusland. Het is wellicht afgestemd op de belangen van dat land.
· De groep was al voor 2014 actief en gebruikt, sinds 2020, de adversary-in-the-middle-techniek (AitM) om captive portal-controles om te leiden naar een Command and Control-server (C&C) en spyware af te leveren.
· ESET is van mening dat MoustachedBouncer een “wettig interceptiesysteem” gebruikt om zijn AitM-operaties uit te voeren.
· Sinds 2014 gebruikt de groep een malware-framework dat ESET NightClub heeft genoemd. Het gebruikt e-mailprotocollen voor C&C-communicatie. Sinds 2020 gebruikt de groep parallel een tweede malware-framework dat Disco werd genoemd.
· NightClub en Disco ondersteunen aanvullende plug-ins voor spionage, waaronder een screen shotter, een audiorecorder en een bestandsdief.
BRATISLAVA, 10 augustus 2023 — ESET Research heeft een nieuwe cyberspionagegroep ontdekt, MoustachedBouncer, zo genoemd door zijn aanwezigheid in Wit-Rusland. Het is afgestemd op de belangen van de lokale overheid. De groep, reeds actief voor 2014 in Wit-Rusland, richt zich enkel op ambassades, waaronder Europese. Sinds 2020 is MoustachedBouncer hoogstwaarschijnlijk in staat om aanvallen van adversary-in-the-middle (AitM) (tegenstanders in het midden) uit te voeren op ISP-niveau binnen Wit-Rusland, om zijn doelwitten in gevaar te brengen. De groep gebruikt twee afzonderlijke toolsets die ESET NightClub en Disco heeft genoemd. Het onderzoek wordt exclusief gepresenteerd tijdens de Black Hat USA 2023-conferentie op 10 augustus 2023 door ESET-onderzoeker Matthieu Faou.
Volgens de ESET-telemetrie richt de groep zich op buitenlandse ambassades in Wit-Rusland. ESET identificeerde vier landen waarvan het ambassadepersoneel het doelwit is: twee uit Europa, één uit Zuid-Azië en één uit Afrika. ESET is van mening dat MoustachedBouncer zeer waarschijnlijk op één lijn ligt met de belangen van Wit-Rusland. Het gebruikt geavanceerde technieken voor Command and Control (C&C)-communicatie, waaronder netwerkonderschepping op ISP-niveau voor het Disco-implantaat, e-mails voor het NightClub-implantaat en DNS in een van de NightClub-plug-ins.
Hoewel ESET Research MoustachedBouncer als een afzonderlijke groep volgt, werden elementen gevonden die ESET, weliswaar met weinig vertrouwen, doet denken dat het samenwerkt met Winter Vivern, een andere actieve spionagegroep die in 2023 doelde op overheidspersoneel van verschillende Europese landen, waaronder Polen en Oekraïne.
Om hun doelwitten in gevaar te brengen, sleutelen MoustachedBouncer-operatoren aan de internettoegang van hun slachtoffers, waarschijnlijk op ISP-niveau, om Windows te doen geloven dat het achter een captive portal zit. Voor IP-reeksen waarop MoustachedBouncer doelt, wordt netwerkverkeer omgeleid naar een ogenschijnlijk legitieme maar valse Windows Update-pagina”, zegt ESET-onderzoeker Matthieu Faou, die de nieuwe bedreigingsgroep ontdekte. “Deze ‘adversary-in-the-middle’-techniek wordt slechts tegen een paar geselecteerde organisaties gebruikt, enkel ambassades, en niet in het ganse land. Het AitM-scenario doet denken aan de bedreigingsactoren van Turla en StrongPity, die op ISP-niveau installatieprogramma’s voor software ter plekke hebben getrojaniseerd.”
“Hoewel het compromitteren van routers om AitM-aanvallen op ambassadenetwerken uit te voeren niet volledig kan worden uitgesloten, suggereert de aanwezigheid van legale onderscheppingsmogelijkheden in Wit-Rusland dat de traffic mangeling plaatsvindt op ISP-niveau en niet op de routers van de doelwitten”, legt de ESET onderzoeker uit.
Sinds 2014 zijn de door MoustachedBouncer gebruikte malwarefamilies geëvolueerd. Een grote verandering vond plaats in 2020, toen de groep AitM adversar-aanvallen ging gebruiken. MoustachedBouncer gebruikt de twee implantaatfamilies in parallel, maar op een bepaalde machine wordt er slechts één tegelijk ingezet. ESET denkt dat Disco wordt gebruikt in combinatie met AitM-aanvallen. NightClub wordt gebruikt voor slachtoffers waarbij het onderscheppen van verkeer op ISP-niveau niet mogelijk is wegens een beperking, zoals het gebruik van een end-to-end gecodeerde VPN waar internetverkeer buiten Wit-Rusland wordt gerouteerd.
“De belangrijkste conclusie is dat organisaties in het buitenland, waar internet niet betrouwbaar is, een end-to-end versleutelde VPN-tunnel moeten gebruiken naar een vertrouwde locatie voor al hun internetverkeer om eventuele apparatuur voor netwerkinspectie te omzeilen. Ze moeten ook beveiligingssoftware van topkwaliteit gebruiken en die updaten”, adviseert Faou.
Om gegevens te exfiltreren gebruikt het NightClub-implantaat gratis e-maildiensten: de Tsjechische mailservice Seznam.cz en de Russische mailprovider Mail.ru. ESET gelooft dat de aanvallers hun eigen e-mailaccounts hebben aangemaakt, in plaats van legitieme accounts te besmetten.
De dreigingsgroep doelt op het stelen van bestanden en het monitoren van schijven, ook externe. NightClub kan ook audio-opnames en screenshots maken alsook toetsaanslagen loggen.
Voor meer technische informatie over MoustachedBouncer, bekijk de blog “MoustachedBouncer: Espionage against foreign diplomats in Belarus” op WeLiveSecurity. Volg ESET Research on Twitter (X) voor het laatste nieuws over ESET Research.
