2014’ten beri aktif olan bir siber casusluk grubu olan MoustachedBouncer, hedeflerini tehlikeye atmak için muhtemelen 2020’den beri ISP düzeyinde ortadaki düşman (AitM) saldırıları gerçekleştirdi.
AitM için MoustachedBouncer, “SORM” gibi yasal bir engelleme sistemi kullanır ve bunun yanı sıra aşağıda bahsettiğimiz iki araç setini kullanır:-
ESET’teki siber güvenlik araştırmacıları kısa bir süre önce, Belarus tarafından desteklendiği bildirilen MoustachedBouncer’ın, yaklaşık on yıldır aşağıda belirtilen ülkelerden yukarıda bahsettiğimiz iki araç setini kullanarak yabancı diplomatları hedef aldığını tespit etti:-
API Saldırıları %400 Arttı – API’lerinizi Pozitif Güvenlik Modeli ile Korumanın Temellerini Anlayın – Ücretsiz Web Semineri İçin Şimdi Kaydolun
Şimdi üye Ol
Yabancı Elçiliklere Saldıran Bıyıklı Fedai
MoustachedBouncer’ın 2021’den beri aktif olan Winter Vivern ile işbirliği yaptığından şüpheleniliyor. Sadece kurbanın ISP erişimini manipüle etmeleri ve hapsedilmiş portal illüzyonuyla Windows 10 işletim sistemini kandırmaları da değil.
ESET telemetrisi, MoustachedBouncer’ın Belarus’taki büyükelçilikleri hedef aldığını ve dört ülkeden personelin etkilendiğini gösteriyor:-
- Avrupa’dan iki
- Güney Asya’dan bir
- Afrikalı bir
Zaman içinde, grubun TTP’leri önemli ölçüde gelişti ve 2014’ten 2022’ye kadar aktif oldu. Ancak, grubun AitM saldırıları 2020’de gözlemlendi, ancak burada istisnai olan şey, hedeflenen dikeylerin aynı kalması.
MoustachedBouncer, hedeflenen IP aralıklarındaki kurbanları aşağıda bahsettiğimiz yanıltıcı, gerçek görünümlü Windows Update URL’lerine yönlendirmek için ISP’yi manipüle eder:-
- http://updates.microsoft[.]iletişim/
Kurbanlar, acil güvenlik uyarıları içeren sahte Windows Update sayfalarıyla karşılaşırlar; bu sayfalarda kullanıcılara “Güncellemeleri al” adlı bir düğme sunulur ve bu düğmenin tıklanması, yürütülen JavaScript yoluyla kötü amaçlı dosya indirmeyi tetikler.
MoustachedBouncer’ın AitM tekniği, MoustachedBouncer’ın yaklaşımına benzer şekilde, ISP düzeyinde kurulumcuları truva atı haline getiren Turla ve StrongPity’ye benzer.
MoustachedBouncer’ın yasal bir dinleme sistemi için Belarus ISP’lerle yaptığı işbirliğinin, telekom sağlayıcılarının uyumluluğunu zorunlu kılan 2016 tarihli bir yetkiyle yürütülen Rusya’nın SORM’sine tamamen benzediğinden şüpheleniliyor.
HTML sayfası JavaScript’i http://updates.microsoft adresinden alır.[.]com/jdrop.js, ‘Güncellemeleri al’ düğmesiyle bir kip görüntüleyen bir saniye sonra ‘jdrop’ zamanlama işlevi.
Ayrıca, MoustachedBouncer iki implant ailesini paralel olarak kullanır ancak aşağıdaki gibi bir makineye yalnızca birini yerleştirir:-
- Disko muhtemelen AitM ile kullanılıyor
- Beyaz Rusya dışındaki VPN korumalı kurbanlar için NightClub
Bunun dışında NightClub’ın iki temel yeteneği vardır ve aşağıda bunlardan bahsetmiştik:-
- Dosyaları izleme
- SMTP (e-posta) yoluyla veri sızdırma
Tüm bu kilit faktörler, MoustachedBouncer’ın yetenekli bir tehdit aktörü olduğunu ve C&C iletişimi için gelişmiş teknikler kullanarak Beyaz Rusya’daki diplomatları aktif olarak hedef aldığını doğrulamaktadır.
Gözlemlenen gelişmiş teknikler: –
- ISP düzeyinde müdahale için Disco’yu kullandı
- E-postalar için NightClub kullandı
- DNS için NightClub eklentisini kullandı
ESET, Şubat 2022’de Avrupa büyükelçiliğine yönelik bir siber saldırı tespit ederek soruşturmaya başladı. Kötü amaçlı yazılımın analizi, grubun diplomatları hedef alma konusundaki gizliliğini sergileyen 2014 yılına ait bir izi ortaya çıkardı.
Bizi GoogleNews, Linkedin üzerinden takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, twitterve Facebook.