Siber güvenlik şirketi ESET, MoustachedBouncer adlı yeni bir siber casusluk kümesi keşfetti. Casusluk grubu, adını Beyaz Rusya’daki varlığından alıyor ve yönetimin çıkarları doğrultusunda hareket ediyor. Küme, Belarus’taki yabancı elçiliklere yöneliktir.
2014 yılından beri faaliyet gösteren grup, Belarus’taki Avrupalılar da dahil olmak üzere yalnızca yabancı büyükelçilikleri hedef alıyor. 2020’den beri MoustachedBouncer, hedeflerine saldırmak için Belarus’ta ISP seviyesinde ortadaki düşman (AitM) saldırılarını gerçekleştirebilmektedir. Grup, ESET’in NightClub ve Disco olarak adlandırdığı diğer iki araç takımını kullanır.
ESET telemetrisine göre küme, Beyaz Rusya’daki yabancı büyükelçilikleri hedefliyor. Büyükelçilik çalışanının hedef alındığı dört ülke belirlendi, ikisi Avrupa, biri Güney Asya ve biri Afrika’da. ESET, MoustachedBouncer’ın ve büyük olasılıkla Belarus’un çıkarlarının, özellikle de Beyaz Rusya’daki yabancı büyükelçiliklere karşı casusluk konusunda uzmanlaşmanın ortak olduğunu belirtiyor. MoustachedBouncer, Disco implantı için ISP düzeyinde ağ müdahalesi, NightClub implantı için e-postalar ve NightClub eklentilerinden birinde DNS dahil olmak üzere Komuta ve Kontrol (C&C) kişileri için gelişmiş teknikler kullanır.
Seçilen amaçlar için kullanılır
ESET Research, MoustachedBouncer’ı ayrı bir grup olarak takip ederken; ESET tarafından zayıf kabul edilen unsurların, grubun 2023’te Polonya ve Ukrayna da dahil olmak üzere birçok Avrupa ülkesinin hükümet personelini hedef alan başka bir aktif casusluk grubu olan Winter Vivern ile işbirliği yaptığı tespit edildi. MoustachedBouncer operatörleri, hedeflerini tehlikeye atmak için kurbanlarının internet erişimini engelliyor , muhtemelen ISP düzeyinde, Windows’u bir tutsak portalın arkasında olduğuna inandırıyor. Yeni tehdit kümesini keşfeden ESET araştırmacısı Matthieu Faou, “MoustachedBouncer tarafından hedeflenen IP aralıkları için ağ trafiği, görünüşte meşru ancak sahte bir Windows Update sayfasına yönlendiriliyor” dedi. “Bu ortadaki düşman tekniği ülke çapında değil, belki de sadece büyükelçilikler gibi seçilmiş kurumlara karşı kullanılıyor. Ortadaki düşman senaryosu bize, indirme sırasında ISP seviyesinde yazılım indiricilere truva atı gönderen tehdit grubu Turla ve StrongPity’yi hatırlatıyor.”
Ses kaydı yapabilir, ekran görüntüsü alabilir, ekran tuşlarını kaydedebilir
“Büyükelçilik ağlarına ortadaki düşman (AitM) saldırıları gerçekleştirmek için yönlendiricilerin kaçırılma olasılığı göz ardı edilemezken, Belarus’ta meşru dinleme unsurlarının varlığı, trafiğin hedefler yerine ISP düzeyinde gerçekleştiğini gösteriyor. “yönlendiriciler,” diye açıkladı ESET Araştırmacısı.
MoustachedBouncer tarafından 2014’ten beri kullanılan kötü amaçlı yazılım ailesi gelişti ve 2020’de kümenin düşman saldırılarını ortadan kullanmaya başlamasıyla büyük bir değişiklik gerçekleşti. MoustachedBouncer, iki implant ailesini paralel olarak çalıştırır, ancak belirli bir makineye aynı anda yalnızca bir tanesi yerleştirilir. ESET, Disco’nun AitM saldırılarıyla bağlantılı olarak kullanıldığına inanırken NightClub, internet trafiğinin Beyaz Rusya dışına yönlendirildiği uçtan uca şifreli bir VPN kullanımı gibi bir kısıtlama nedeniyle ISP düzeyinde trafik müdahalesinin mümkün olmadığı kurbanlar için kullanılıyor. .
“Buradaki mesaj, İnternet’in istikrarsız olduğu yabancı ülkelerdeki kuruluşların, rastgele bir ağ inceleme cihazını atlatmak için tüm İnternet trafiğini güvenilir bir konuma yönlendiren uçtan uca şifreli bir VPN tüneli kullanması gerektiğidir. Ayrıca yüksek kaliteli, güncel bilgisayar güvenlik yazılımları kullanmaları gerekir. ” söz konusu.
NightClub implantı, bilgi sızdırmak için Çek web posta hizmeti Seznam.cz ve Rus Mail.ru web posta sağlayıcısı gibi ücretsiz e-posta hizmetlerini kullanır. ESET, saldırganların meşru e-posta hesaplarını tehlikeye atmak yerine kendi e-posta hesaplarını oluşturduklarına inanmaktadır. Tehdit kümesi, harici olanlar da dahil olmak üzere belgeleri çalmaya ve sürücüleri izlemeye odaklanır. NightClub implantının yapabileceklerinin temelinde ses kaydı, ekran görüntüleri yakalama ve klavye tuş vuruşlarını kaydetme yer alır.
Kaynak: (BYZHA) Beyaz Haber Ajansı
