MoustachedBouncer: кибершпионская группа, нацеленная на иностранные посольства в Беларуси

Аналитики ESET Research предполагают, что для проведения атак AitM группа может использовать систему законного перехвата связи, такую как СОРМ (система оперативно-розыскных мероприятий), что делает её операции особенно скрытными и эффективными. Кроме того, исследователи с низкой степенью уверенности связывают MoustachedBouncer с другой кибершпионской группировкой - Winter Vivern, которая также нацелена на европейских дипломатов, но применяет иные тактики, техники и процедуры (ТТП).

С 2014 года MoustachedBouncer использует вредоносный фреймворк NightClub, который для коммуникации с командными серверами применяет протоколы электронной почты - SMTP и IMAP. Это позволяет группе маскировать свою активность под легитимный почтовый трафик, усложняя обнаружение. Начиная с 2020 года, в арсенале группы появился второй фреймворк - Disco, который функционирует параллельно с NightClub. Оба инструмента поддерживают дополнительные шпионские модули, включая функции создания скриншотов, записи звука с микрофона и кражи файлов с заражённых устройств.

Особую тревогу вызывает тот факт, что MoustachedBouncer, вероятно, имеет доступ к инфраструктуре интернет-провайдеров на территории Беларуси, что позволяет ей перехватывать и модифицировать трафик жертв в реальном времени. Это делает атаки группы крайне опасными, поскольку даже использование защищённых каналов связи, таких как VPN или HTTPS, не гарантирует безопасность данных.

Эксперты по кибербезопасности отмечают, что подобные группы представляют серьёзную угрозу для дипломатических миссий и других государственных учреждений, так как их деятельность может быть связана с долгосрочным сбором разведывательной информации. Учитывая сложность обнаружения и нейтрализации таких угроз, организациям рекомендуется усиливать защиту своих сетей, внедрять многофакторную аутентификацию и регулярно обновлять системы мониторинга киберугроз.

Раскрытие деятельности MoustachedBouncer подчёркивает растущую активность государственных и полугосударственных хакерских группировок, которые используют изощрённые методы для достижения своих целей. В условиях усиления киберконфликтов подобные случаи требуют не только технических мер противодействия, но и международного сотрудничества в сфере кибербезопасности.

IPv4

• 209.19.37.184
• 24.9.51.94
• 35.214.56.2
• 38.9.8.78
• 52.3.8.25
• 59.6.8.25

Emails

• [email protected]
• [email protected]
• [email protected]
• [email protected]

SHA1

• 0241a01d4b03bd360dd09165b59b63ac2ceceafb
• 02790dc4b276dfbb26c714f29d19e53129bb6186
• 0401ee7f3bc384734bf7e352c4c4bc372840c30d
• 0daea89f91a55f46d33c294cfe84ef06ce22e393
• 11cf38d971534d9b619581cedc19319962f3b996
• 142ff0770bc6e3d077fbb64d6f23499d9deb9093
• 19e3d06fbe276d4aaea25abc36cc40ea88435630
• 3a9b699a25257cbd0476cb1239ff9b25810305fe
• 3ad77281640e7ba754e9b203c8b6abfd3f6a7bdd
• 4f1cecf6d05571ae35ed00ac02d5e8e0f878a984
• 52be04c420795b0d9c7cd1a4acbf8d5953fafd16
• 5b55250cc0da407201b5f042322cfdbf56041632
• 6999730d0715606d14acd19329af0685b8ad0299
• 6e729e84c7672f048ed8ae847f20a0219e917fa3
• 6eff58edf7ac0fc60f0b8f7e22cfe243566e2a13
• 92115e21e565440b1a26ecc20d2552a214155669
• a01f1a9336c83ffe1b13410c93c1b04e15e2996c
• a3ae82b19fee2756d6354e85a094f1a4598314ab
• c2aa90b441391adefaa3a841aa8ce777d6ec7e18
• c46cb98d0ceccb83ec7de070b3fa7afee7f41189
• c5b2323eae5e01a6019931ce35ff7623df7346ba
• d14d9118335c9bf6633cb2a41023486dacbeb052
• d2b715a72bba307cc9bf7690439d34f62edf1324
• de0b38e12c0af0fd63a67b03dd1f8c1bf7fa6128
• df8ded42f9b7de1f439aec50f9c2a13cd5eb1db6
• e65eb4467ddb1c99b09ae87ba0a964c36bab4c30
• e6de72516c1d4338d7e45e028340b54dcdc7a8ac
• f92fe4dd679903f75ade64dc8a20d46dfbd3b277
• fe9527277c06d7f986161291ce7854ee79788cb8