Вредоносное ПО NightClub, связанное с субъектом угрозы MoustachedBouncer

Вредоносное ПО, известное как NightClub, обладает возможностями шпионского ПО и кражи данных. Эта вредоносная программа существует как минимум в четырех версиях, самая ранняя из которых датируется 2014 годом.

Вредоносная программа NightClub используется злоумышленником по имени MoustachedBouncer. Эта группа действует уже почти десять лет и в основном нацелена на посольства иностранных государств в Беларуси. Известные цели включают посольства из четырех стран: два в Европе и по одному в Африке и Южной Азии. В дополнение к NightClub этот злоумышленник также использует другой набор инструментов, называемый Disco.

Первоначальная версия NightClub фокусируется на двух основных функциях: мониторинге файлов и извлечении данных. Это вредоносное ПО отправляет украденный контент на свой сервер управления и контроля (C&C) по электронной почте. Более ранние итерации ограничивались загрузкой файлов таких форматов, как документы Microsoft Word (.doc, .docx), Microsoft Excel (.xls, .xlsx) и PDF (.pdf).

Однако версии, выпущенные после 2016 года, обладают возможностью загрузки дополнительных вредоносных модулей со своего C&C-сервера. Хотя теоретически вредоносное ПО, способное внедрять дополнительный контент в зараженные устройства, может привести к различным формам заражения, на практике это программное обеспечение имеет тенденцию работать с определенными ограничениями.

Атаки на ночные клубы, инициированные с 2020 года, включают модуль бэкдора, а также модули для кейлоггинга (захвата типизированных данных), создания снимков экрана и записи звука через встроенные или подключенные микрофоны.

Модуль бэкдора имеет возможность выполнять различные команды, включая (но не ограничиваясь): создание процессов, копирование и перемещение каталогов, а также чтение, перемещение и удаление файлов.

Важно отметить, что разработчики вредоносных программ часто совершенствуют свое программное обеспечение и методологии с течением времени. Кроме того, деятельность NightClub связана с политическими и геополитическими атаками. Эти факторы предполагают, что потенциальные предстоящие кампании NightClub могут включать другие или дополнительные функции и возможности.

Как инфостилеры обычно распространяются в сети?

Infostealers, также известные как похитители информации или похитители данных, представляют собой тип вредоносных программ, предназначенных для проникновения на устройство жертвы, сбора конфиденциальной информации и отправки ее злоумышленникам. Эти штаммы вредоносных программ предназначены для сбора ценных данных, таких как учетные данные для входа в систему, финансовая информация, личные данные и многое другое. Инфостилеры могут распространяться различными онлайн-методами:

Вредоносные вложения электронной почты: Infostealers часто распространяются через фишинговые электронные письма, содержащие зараженные вложения. Эти вложения могут быть замаскированы под документы (например, PDF-файлы, файлы Word), электронные таблицы или исполняемые файлы. Как только жертва открывает вложение, вредоносная программа запускается, и устройство становится скомпрометированным.

Вредоносные ссылки в электронных письмах. Фишинговые электронные письма могут также содержать ссылки на вредоносные веб-сайты. Нажатие на эти ссылки может привести к загрузке диска, когда вредоносное ПО автоматически загружается и запускается без ведома пользователя.

Вредоносная реклама: Infostealers могут быть доставлены через вредоносную рекламу (вредоносная реклама), отображаемую на законных веб-сайтах. Эти объявления могут привести пользователей на веб-сайты, на которых размещены наборы эксплойтов, способные доставлять вредоносное ПО на уязвимые устройства.

Скомпрометированные или поддельные веб-сайты. Киберпреступники могут создавать поддельные веб-сайты или компрометировать законные веб-сайты для размещения вредоносного программного обеспечения. Пользователи, которые посещают эти сайты, могут по незнанию загрузить и установить инфостилеры.

Бесплатное и взломанное программное обеспечение. Киберпреступники могут объединять программы для кражи информации со взломанным программным обеспечением или пиратским контентом. Когда пользователи загружают и устанавливают эти файлы, они непреднамеренно устанавливают вредоносное ПО.

Попутные загрузки. Попутные загрузки происходят, когда посещение взломанного или вредоносного веб-сайта запускает автоматическую загрузку и установку вредоносного ПО на устройство пользователя.

Вредоносные сети обмена файлами: Infostealers могут распространяться через сети обмена файлами, особенно те, которые размещают пиратское программное обеспечение или контент. Пользователи, которые загружают и запускают эти файлы, могут неосознанно запускать вредоносное ПО.