Khám phá cuộc khủng hoảng gián điệp mạng kéo dài nhiều năm tại các Đại sứ quán nước ngoài ở Belarus

0
0

- Nhóm tấn công APT MoustachedBouncer hoạt động tại Belarus kể từ năm 2014, đã thực hiện cuộc tấn công nhằm vào các Đại sứ quán nước ngoài.

Theo các chuyên gia bảo mật, MoustachedBouncer đã có thể thực hiện các cuộc tấn công adversary-in-themiddle (AitM) (tấn công đánh cắp thông tin) ở cấp ISP để xâm nhập vào nhiều mục tiêu trong phạm vi của Belarus.

Nhóm này được cho là có liên quan đến lợi ích của Belarus và có khả năng sử dụng hệ thống nghe lén hợp pháp như SORM để thực hiện các cuộc tấn công AitM, đồng thời triển khai các công cụ khác như NightClub và Disco. Hiện tại, vector lây nhiễm của NightClub chưa được làm rõ còn Disco lây nhiễm qua tấn công AitM.

Cả 2 framework mã độc Windows trên đều hỗ trợ các plugin gián điệp bổ sung bao gồm chức năng chụp ảnh màn hình, ghi âm, và đánh cắp tập tin. Mẫu cũ nhất của NightClub được phát hiện vào ngày 19/11/2014, khi được tải lên VirusTotal từ Ukraine.

Từ tháng 6/2017, có ít nhất 04 quốc gia có đại sứ quán được ghi nhận bị ảnh hưởng bởi chiến dịch tấn công của MoustachedBouncer. Nhóm này được cho là hợp tác cùng nhóm APT Winter Vivern (hay còn gọi là TA471/UAC-0114), đây là nhóm đã từng tấn công vào các quan chức chính phủ tại châu Âu và Hoa Kỳ.

 

Nhóm MoustachedBouncer tấn công mục tiêu bằng cách điều chỉnh truy cập Internet của nạn nhân ở cấp ISP để khiến Windows tin rằng thiết bị hiện đang nằm sau một Captive Portal. Đối với các dải IP bị tấn công, lưu lượng mạng bị sửa đổi tại tầng ISP và URL bị điều hướng tới một Window Update URL giả mạo.

Nhóm MoustachedBouncer tấn công bằng cách khiến nạn nhân truy cập vào trang web giả mạo, thúc đẩy cài đặt bảo mật qua một chương trình "Windows Update" tải xuống máy tính và cài đặt một nhiệm vụ tải xuống các plugin, mở rộng chức năng của Disco, bao gồm chụp ảnh màn hình, thực thi lệnh PowerShell, và cài đặt reverse proxy.

Điểm đáng chú ý của plugin là việc sử dụng giao thức Server Message Block (SMB) để thu thập và gửi dữ liệu về máy chủ điều khiển (C&C), không thể truy cập qua Internet, tạo tính bền bỉ cho hạ tầng tấn công.

Ngoài ra, trong chiến dịch tấn công vào tháng 01/2020 sử dụng dropper C# là SharpDisco để triển khai 02 plugin thông qua reverse shell, mục tiêu là liệt kê các ổ đĩa kết nối và trích xuất file.

NightClub framework còn sử dụng dropper để khởi động thành phần điều phối thu thập và gửi đi các tập tin mục tiêu bằng giao thức SMTP. Các phiên bản sau của NightClub, phát hiện vào năm 2017 và năm 2020, sử dụng keylogger, thu âm, chụp ảnh màn hình và cổng sau backdoor sử dụng DNS-tunneling.

Các nhà nghiên cứu bảo mật tin rằng NightClub được sử dụng trong trường hợp không thể chặn lưu lượng ở cấp ISP, như khi sử dụng VPN mã hóa đầu cuối để định tuyến lưu lượng mạng định tuyến ra ngoài Belarus.

PV


Ý kiến bạn đọc


Lời cảm ơn của gia đình Tổng Bí thư Nguyễn Phú Trọng

Chiều 26/7, ông Nguyễn Trọng Trường, đại diện gia đình Tổng Bí thư Nguyễn Phú Trọng đọc Lời cảm ơn của gia đình Tổng Bí thư tại Lễ Truy điệu.

Bức tâm thư của Phu nhân Tổng Bí thư Lào gửi Phu nhân Tổng Bí thư

(VnMedia) - VnMedia xin đăng tải toàn văn bức tâm thư của Phu nhân Tổng Bí thư Lào Naly Sisoulith gửi Phu nhân Tổng Bí thư Nguyễn Phú Trọng, Ngô Thị Mận.

Nhớ về một người Cộng sản chân chính

(VnMedia)- Mỗi khi nghĩ về Tổng Bí thư Nguyễn Phú Trọng là trong tôi hiện lên hình ảnh một người Cộng sản chân chính. Và, lúc này, tôi lại nhớ đến câu chuyện mẹ tôi vẫn kể trong những năm tháng bà còn sống về cha tôi - một người Cộng sản...

Cảnh báo chiêu trò lừa đảo tuyển người mẫu, cầu thủ nhí trên không gian mạng

(VnMedia) - Bộ Công an vừa phát đi cảnh báo về chiêu trò lừa đảo tuyển mẫu nhí, cầu thủ nhí, người đại diện thương hiệu nhằm chiếm đoạt tài sản qua không gian mạng.

Giá vàng đảo chiều tăng mạnh

(VnMedia) - Chốt phiên giao dịch rạng sáng nay (24/7), giá vàng giao ngay tại thị trường New York đã đảo chiều tăng mạnh hơn 13 USD/ounce. Trong nước, chiều qua, giá vàng miếng SJC vẫn duy trì ở mốc gần 80 triệu đồng/lượng ở chiều bán ra.