Un acteur menaçant jusqu’ici sans papiers opérant depuis près d’une décennie et portant le nom de code MoustachedBouncer a été attribuée à des attaques de cyberespionnage visant des ambassades étrangères en Biélorussie.
« Depuis 2020, MoustachedBouncer a très probablement été en mesure d’effectuer des attaques d’adversaire au milieu (AitM) au niveau du FAI, en Biélorussie, afin de compromettre ses cibles », a déclaré Matthieu Faou, chercheur en sécurité chez ESET, décrivant le groupe comme qualifié et avancé.
L’adversaire, actif depuis au moins 2014, est considéré comme aligné sur les intérêts biélorusses, utilisant probablement un système d’interception légal tel que SORM pour mener ses attaques AitM et déployer des outils disparates appelés NightClub et Disco.
Les deux cadres de logiciels malveillants Windows prennent en charge des plug-ins d’espionnage supplémentaires, notamment un capture d’écran, un enregistreur audio et un voleur de fichiers. L’échantillon le plus ancien de NightClub remonte au 19 novembre 2014, lorsqu’il a été téléchargé sur VirusTotal depuis l’Ukraine.
Le personnel de l’ambassade de quatre pays différents est ciblé depuis juin 2017 : deux d’Europe, un d’Asie du Sud et un d’Afrique du Nord-Est. L’un des diplomates européens a été compromis à deux reprises en novembre 2020 et juillet 2022. Les noms des pays n’ont pas été révélés.
On pense également que MoustachedBouncer travaille en étroite collaboration avec un autre acteur de la menace persistante avancée (APT) connu sous le nom de Winter Vivern (alias TA473 ou UAC-0114), qui a fait ses preuves en matière de grève des responsables gouvernementaux en Europe et aux États-Unis.
Le vecteur d’infection initial exact utilisé pour livrer NightClub est actuellement inconnu. La distribution de Disco, en revanche, est réalisée au moyen d’une attaque AitM.
« Pour compromettre leurs cibles, les opérateurs MoustachedBouncer falsifient l’accès Internet de leurs victimes, probablement au niveau du FAI, pour faire croire à Windows qu’il se cache derrière un portail captif », a déclaré Faou. « Pour les plages d’adresses IP ciblées par MoustachedBouncer, le trafic réseau est falsifié au niveau du FAI, et cette dernière URL redirige vers une URL Windows Update apparemment légitime, mais fausse. »
« Bien que la compromission des routeurs afin de mener l’AitM sur les réseaux des ambassades ne puisse être totalement écartée, la présence de capacités d’interception légales en Biélorussie suggère que la manipulation du trafic se produit au niveau du FAI plutôt que sur les routeurs des cibles », a déclaré Fou.
Deux fournisseurs de services Internet (FAI) biélorusses, à savoir Unitary Enterprise A1 et Beltelecom, sont soupçonnés d’être impliqués dans la campagne, selon la société slovaque de cybersécurité.
Les victimes qui atterrissent sur la fausse page sont accueillies par un message les invitant à installer les mises à jour de sécurité critiques en cliquant sur un bouton. Ce faisant, un programme d’installation « Windows Update » basé sur Go est téléchargé sur la machine qui, lorsqu’il est exécuté, configure une tâche planifiée pour exécuter un autre fichier binaire de téléchargement chargé de récupérer des plugins supplémentaires.
Les modules complémentaires étendent les fonctionnalités de Disco en capturant des captures d’écran toutes les 15 secondes, en exécutant des scripts PowerShell et en configurant un proxy inverse.
Un aspect important des plugins est l’utilisation du protocole Server Message Block (SMB) pour l’exfiltration de données vers des serveurs de commande et de contrôle inaccessibles sur Internet, ce qui rend l’infrastructure de l’acteur de la menace très résistante.
Également utilisé dans l’attaque de janvier 2020 visant les diplomates d’un pays d’Afrique du Nord-Est en Biélorussie, un dropper C # appelé SharpDisco, qui facilite le déploiement de deux plugins au moyen d’un reverse shell afin d’énumérer les lecteurs connectés et d’exfiltrer les fichiers.
Le framework NightClub comprend également un dropper qui, à son tour, lance un composant orchestrateur pour récolter les fichiers d’intérêt et les transmettre via le protocole SMTP (Simple Mail Transfer Protocol). Les nouvelles variantes de NightClub trouvées en 2017 et 2020 intègrent également un enregistreur de frappe, un enregistreur audio, un capture d’écran et une porte dérobée de tunnel DNS.
« La porte dérobée de tunnel DNS (ParametersParserer.dll) utilise un protocole personnalisé pour envoyer et recevoir des données d’un serveur DNS malveillant », a expliqué Faou. « Le plugin ajoute les données à exfiltrer dans le cadre du nom de sous-domaine du domaine utilisé dans la requête DNS. »
Les commandes prises en charge par l’implant modulaire permettent à l’auteur de la menace de rechercher des fichiers correspondant à un modèle spécifique, de lire, de copier et de supprimer des fichiers, d’écrire dans des fichiers, de copier des répertoires et de créer des processus arbitraires.
On pense que NightClub est utilisé dans des scénarios où l’interception du trafic au niveau du FAI n’est pas possible en raison d’atténuations renforçant l’anonymat telles que l’utilisation d’un VPN crypté de bout en bout où le trafic Internet est acheminé en dehors de la Biélorussie.
« Le principal point à retenir est que les organisations situées dans des pays étrangers où Internet n’est pas fiable devraient utiliser un tunnel VPN crypté de bout en bout vers un emplacement de confiance pour tout leur trafic Internet afin de contourner tout dispositif d’inspection du réseau », a déclaré Faou.
