据观察，一个名为“MoustachedBouncer”的网络间谍组织对 ISP 使用中间对手 (AitM) 攻击来入侵白俄罗斯的外国大使馆。

根据今天发布的 ESET 报告，研究人员观察到了五次不同的活动，据信威胁行为者至少自 2014 年以来就一直活跃，自 2020 年以来在白俄罗斯 ISP 中使用 AitM。

MoustachedBouncer 在此期间使用的两个签名恶意软件框架是自 2014 年以来的“NightClub”和 2020 年推出的“Disco”，用于支持数据盗窃、捕获屏幕截图、录制音频等。

AiTM 攻击

最近用于破坏网络的方法是在 ISP 级别使用中间对手 (AitM) 攻击来欺骗目标 Windows 10 安装，使其假设它位于强制门户后面。

MoustachedBouncer 确认使用的 ISP 是 Beltelecom（国有独资）和 Unitary Enterprise AI（最大的私营）。

ESET 认为，威胁行为者通过破坏 ISP 基础设施或与有权访问白俄罗斯网络服务提供商的实体合作来操纵流量来实现这一目标。

ESET 的报告解释说：“对于 MoustachedBouncer 所针对的 IP 范围，网络流量在 ISP 级别被篡改，后者 URL 重定向到看似合法但虚假的 Windows 更新 URL“updates.microsoft[.]com”  。

“因此，假冒的 Windows 更新页面将在网络连接时向潜在受害者显示。”

当目标 Windows 10 设备连接到网络时，它会将强制门户检查（用于检查设备是否连接到互联网）重定向到虚假的 Windows 更新 HTML 页面。

此页面使用 JavaScript 显示“获取更新”按钮，单击该按钮后会下载虚假的操作系统更新 ZIP 文件。

这个ZIP文件包含一个基于Go的恶意软件，它创建一个每分钟执行一次的计划任务，从看似谷歌云IP地址但很可能只是为了掩护的地方获取另一个可执行文件，即恶意软件加载程序。

MoustachedBouncer 自 2014 年以来使用的恶意软件负载是“NightClub”和“Disco”恶意软件工具包的各个版本，每个新版本都展示了显着的演变。

夜总会恶意软件

早期版本以文件监控和 SMTP（电子邮件）渗透以及命令和控制服务器通信为特色，而其作者后来添加了持久性机制和键盘记录器，

黑客在 2020 年至 2022 年期间使用的 NightClub 最新版本具有用于截取屏幕截图、录制音频、键盘记录以及为 C2 通信设置 DNS 隧道后门的新模块。

DNS 后门执行附加命令，为恶意软件提供文件、目录创建、读取和搜索功能以及进程操作功能。

此外，最新的 NightClub 使用硬编码的私有 RSA-2048 密钥来加密其字符串，而其配置存储在外部文件中，使其更具隐蔽性和多功能性。

ESET 无法确定 MoustachedBouncer 用于 NightClub 的感染渠道，因此该方面仍然未知。

迪斯科恶意软件

Disco 是一种较新的恶意软件框架，通过之前描述的基于 AitM 的攻击链到达受害者，MoustachedBouncer 于 2020 年开始使用该攻击链。

Disco 使用多个基于 Go 的插件来扩展其功能，从而允许恶意软件：

• 每15秒截屏一次（三个模块）
• 执行PowerShell脚本（两个模块）
• 使用公开可用的 PoC 来利用 CVE-2021-1732 来提升权限
• 使用受开源工具“ revsocks ”启发的代码设置反向代理（两个模块）

Disco 还使用 SMB（服务器消息块）共享进行数据泄露，该协议主要用于共享访问文件、打印机和串行端口，因此不会直接传输到 C2 服务器。

MoustchedBouncer 的 C2 基础设施无法直接从公共互联网访问，这有效地将其隐藏起来，不让安全研究人员发现，并保护其免遭攻击。

ESET 建议驻白俄罗斯的外交官和大使馆员工在访问互联网时使用端到端加密 VPN 隧道来阻止 AiTM 攻击。