NightClub Malware knyttet til Moustached Bouncer Threat Actor

Skadevaren kjent som NightClub har spionprogrammer og datatyveri. Dette ondsinnede programmet finnes i minst fire versjoner, med den tidligste varianten som dateres tilbake til 2014.

NightClub malware er ansatt av en trusselaktør ved navn MoustachedBouncer. Denne gruppen har vært aktiv i nesten ti år og retter seg hovedsakelig mot utenlandske ambassader i Hviterussland. Viktige mål inkluderer ambassader fra fire land: to i Europa og en hver i Afrika og Sør-Asia. I tillegg til NightClub, bruker denne trusselaktøren også et annet sett med verktøy referert til som Disco.

Den originale versjonen av NightClub fokuserer på to hovedfunksjoner: overvåking av filer og uttrekking av data. Denne skadelige programvaren sender stjålet innhold til Command and Control-serveren (C&C) via e-post. Tidligere iterasjoner var begrenset til nedlasting av filer i formater som Microsoft Word (.doc, .docx), Microsoft Excel (.xls, .xlsx) og PDF-dokumenter (.pdf).

Imidlertid har versjoner utgitt siden 2016 muligheten til å hente ekstra ondsinnede moduler fra deres C&C-server. Mens i teorien kan skadelig programvare med muligheten til å infiltrere ekstra innhold inn i infiserte enheter resultere i ulike former for infeksjon, i praksis har denne programvaren en tendens til å operere innenfor visse begrensninger.

NightClub-angrep startet siden 2020 introduserer en bakdørsmodul, så vel som moduler for tastelogging (fange inn tastede data), ta skjermbilder og ta opp lyd gjennom integrerte eller tilkoblede mikrofoner.

Bakdørsmodulen har muligheten til å utføre forskjellige kommandoer, inkludert (men ikke begrenset til): opprette prosesser, kopiere og flytte kataloger og lese, flytte og slette filer.

Det er viktig å merke seg at skadevareutviklere ofte forbedrer programvaren og metodene sine over tid. Videre er NightClubs aktiviteter knyttet til politiske og geopolitiske angrep. Disse faktorene tyder på at potensielle kommende NightClub-kampanjer kan introdusere andre eller flere funksjoner og funksjoner.

Hvordan distribueres infostelere vanligvis på nettet?

Infostealere, også kjent som informasjonstyvere eller datatyvere, er en type skadelig programvare designet for å infiltrere et offers enhet, samle inn sensitiv informasjon og sende den til ondsinnede aktører. Disse skadevarestammene tar sikte på å høste verdifulle data som påloggingsinformasjon, finansiell informasjon, personlige detaljer og mer. Infostealere kan distribueres gjennom ulike nettbaserte metoder:

Ondsinnede e-postvedlegg: Infostealere spres ofte gjennom phishing-e-poster som inneholder infiserte vedlegg. Disse vedleggene kan være forkledd som dokumenter (f.eks. PDF-er, Word-filer), regneark eller kjørbare filer. Når offeret åpner vedlegget, blir skadelig programvare utført, og enheten blir kompromittert.

Ondsinnede koblinger i e-poster: Phishing-e-poster kan også inneholde lenker til ondsinnede nettsteder. Å klikke på disse koblingene kan føre til drive-by-nedlastinger, hvor skadelig programvare automatisk lastes ned og kjøres uten brukerens viten.

Malvertising: Infostealers kan leveres gjennom ondsinnede annonser (malvertising) som vises på legitime nettsteder. Disse annonsene kan føre brukere til nettsteder som er vert for utnyttelsessett som kan levere skadelig programvare til sårbare enheter.

Kompromitterte eller falske nettsteder: Nettkriminelle kan lage falske nettsteder eller kompromittere legitime nettsteder for å være vert for skadelig programvare. Brukere som besøker disse sidene kan ubevisst laste ned og installere infostealere.

Freeware og cracked programvare: Nettkriminelle kan pakke infostelere med cracket programvare eller piratkopiert innhold. Når brukere laster ned og installerer disse filene, installerer de utilsiktet skadelig programvare.

Drive-by-nedlastinger: Drive-by-nedlastinger skjer når besøk på et kompromittert eller ondsinnet nettsted utløser automatisk nedlasting og installasjon av skadelig programvare på brukerens enhet.

Ondsinnede fildelingsnettverk: Infostealere kan distribueres gjennom fildelingsnettverk, spesielt de som er vert for piratkopiert programvare eller innhold. Brukere som laster ned og kjører disse filene, kan ubevisst utføre skadelig programvare.