MoustachedBouncer adı verilen yeni bir siber casusluk grubu keşfetti. Casusluk grubu adını Belarus’taki varlığından alıyor ve yönetimin çıkarları doğrultusunda hareket ediyor. Grup Belarus’taki yabancı büyükelçilikleri hedef alıyor.
2014’ten beri aktif olduğu belirtilen grup, Belarus’taki Avrupalılar dahil olmak üzere yalnızca yabancı büyük elçilikleri hedefliyor. 2020’den beri MoustachedBouncer , hedeflerine saldırmak için Belarus’ta ISP seviyesinde ortadaki düşman (AitM) saldırılarını gerçekleştirebiliyor. Grup, NightClub ve Disco olarak adlandırdığı iki ayrı araç seti kullanıyor.
Grup Belarus’taki yabancı büyükelçilikleri hedef alıyor. İkisi Avrupa, biri Güney Asya ve biri Afrika’da olmak üzere elçilik personelinin hedef alındığı dört ülke belirlendi.
MoustachedBouncer‘ın ve büyük olasılıkla Belarus’un çıkarlarının ortak olduğunu, özellikle Belarus’taki yabancı büyükelçiliklere karşı casusluk konusunda uzmanlaştığını belirtiyor.
Bu grup, Disco implantı için ISP düzeyinde ağ müdahalesi, NightClub implantı için e-postalar ve NightClub eklentilerinden birinde DNS dahil olmak üzere Komuta ve Kontrol (C&C) iletişimleri için gelişmiş teknikler kullanıyor.
Seçilmiş hedeflere yönelik kullanılıyor
Grubun 2023 yılında Polonya ve Ukrayna dahil olmak üzere birçok Avrupa ülkesinin hükumet personelini hedef alan başka bir aktif casusluk grubu olan Winter Vivern ile işbirliği yaptığına dair unsurlar bulundu.
Grubun operatörleri, hedeflerini tehlikeye atmak için kurbanlarının internet erişimine muhtemelen ISP seviyesinde müdahale ederek Windows’u bir tutsak portalın arkasında olduğuna inandırıyor.
Ses kaydı, ekran görüntüsü alabiliyor, ekran tuşlarını kaydedebiliyor
Elçilik ağlarına ortadaki düşman (AitM) saldırıları gerçekleştirmek için yönlendiricilerin ele geçirilmesi ihtimali göz ardı edilemezken, Belarus’ta yasal dinleme unsurlarının varlığı, trafiğin hedeflerin yönlendiricileri yerine ISP düzeyinde gerçekleştiği ortaya çıktı.
2014’ten bu yana grup tarafından kullanılan kötü amaçlı yazılım ailesi gelişti ve 2020’de grubun ortadaki düşman saldırılarını kullanmaya başlamasıyla büyük bir değişiklik oldu. MoustachedBouncer, iki implant ailesini paralel olarak çalıştırıyor ancak belirli bir makinede aynı anda yalnızca bir tanesi yerleştiriliyor. Disco’nun AitM saldırılarıyla bağlantılı olarak kullanıldığı düşünülüyor. NightClub, internet trafiğinin Belarus’un dışına yönlendirildiği uçtan uca şifreli bir VPN kullanımı gibi bir azaltma nedeniyle ISP düzeyinde trafik müdahalesinin mümkün olmadığı kurbanlar için kullanılıyor.
NightClub implantı, verileri sızdırmak için Çek web posta hizmeti Seznam.cz ve Rus Mail.ru web posta sağlayıcısı gibi ücretsiz e-posta hizmetlerini kullanıyor. Saldırganların yasal e-posta hesaplarını tehlikeye atmak yerine kendi e-posta hesaplarını oluşturduklarına inanıyor. Tehdit grubu, dosyaları çalmaya ve harici olanlar da dahil sürücüleri izlemeye odaklanıyor. NightClub implantının yapabildikleri arasında ses kaydı, ekran görüntüsü alma ve klavye tuş vuruşlarını kaydetmek yer alıyor.
