MoustachedBouncer是白俄罗斯政府支持的黑客组织,自2014年以来一直活跃。白俄罗斯MoustachedBouncer黑客组织被曝在国家支持下对外国大使馆进行间谍活动。ESET Research揭露了一项针对南亚、非洲和欧洲外交官长达数年的活动。黑客采用多种技术,包括C++后门和ISP级攻击。MoustachedBouncer篡改了受害者的互联网访问,通过虚假的强制门户欺骗Windows。研究人员建议使用加密VPN,以增强安全性,抵御这种复杂的间谍活动。
ESET Research的网络安全研究人员表示,白俄罗斯政府多年来一直通过MoustachedBouncer黑客组织监视驻该国的外国外交官。
研究证实,至少有一个来自南亚的大使馆、一个来自非洲的大使馆和两个来自欧洲的大使馆是自2014年以来一直活跃的国家支持的间谍活动的目标。
黑客利用了广泛的攻击技术,包括C++模块化后门、中间对手攻击和基于电子邮件的C&C协议,并从国内对ISP级别进行攻击以进行间谍活动。
ESET的报告中写道:“为了破坏他们的目标,MoustachedBouncer运营商可能会在ISP级别篡改受害者的互联网访问,让Windows相信它是在一个强制门户后面。”
供您参考,中间对手攻击依赖于“合法拦截”间谍基础设施,例如SORM。在俄罗斯和许多其他国家/地区,它由安全服务部门部署在ISP场所。
该间谍活动始于2014年,考虑到这是第一次被披露,这令人惊讶。自2014年以来,该组织已使用众多恶意软件家族来实现网络干预。
最初,MoustachedBouncer使用基于电子邮件协议(SMTP和MAP)的恶意软件框架,后来改用可以窃取文件、截取屏幕截图和记录对话的植入程序。
研究人员怀疑MoustachedBouncer得到了白俄罗斯政府的全力支持,并且可能与其他黑客组织有联系。MoustachedBouncer与另一个高度活跃的黑客组织Winter Vivern有着密切的联系,这一事实强化了这一观点。
Winter Vivern组织于2021年被发现,以欧洲外交官为目标而闻名。他们的攻击技术与名为StrongPity和Turla的两个不同的威胁行为者产生了共鸣。这两个木马软件安装程序都是在ISP级别进行的。
根据恶意软件研究员Matthieu Faou撰写的ESET报告,黑客篡改了目标的流量,以显示看似真实但虚假的Windows更新URL。该页面向他们承诺紧急需要安装的关键系统安全更新。
根据ESET遥测,此页面提供了一个包含恶意可执行文件的虚假更新文件,两个本地ISP网络参与了此次活动,包括Beltelecom和Unitary Enterprise A1。
Faou写道:“我们强烈建议白俄罗斯的外国组织使用端到端加密VPN隧道,最好是带外(即不是来自端点),从可信网络提供互联网连接。”
有证据表明,自2017年6月以来,来自4个国家的外交官成为MoustchedBouncer的目标,其中两名来自欧洲,一名来自东北非,一名来自南亚。两名欧洲外交官中的一名在2020年11月至2022年7月期间两次成为攻击目标。
这个之前没有记录的网络间谍组织仅针对白俄罗斯的外国大使馆,并且自2020年以来很可能一直在执行ISP级别的中间对手攻击。该黑客组织更喜欢使用NightClub和Disco工具集,并在此次活动中也使用了它们。
研究人员将MoustachedBouncer记录为一个独立团体,但相信它与Winter Vivern合作。该漏洞于2021年被发现。Proofpoint报告称,该组织利用Zimbra邮件门户的XSS漏洞窃取了欧洲国家外交官的网络邮件凭据。
评论已关闭。