NightClub Malware kopplad till MoustachedBouncer Threat Actor

Skadlig programvara känd som NightClub har spionprogram och datastöldfunktioner. Detta skadliga program finns i minst fyra versioner, med den tidigaste varianten som går tillbaka till 2014.

NightClub skadlig kod används av en hotaktör som heter MoustachedBouncer. Denna grupp har varit aktiv i nästan tio år och riktar sig främst till utländska ambassader i Vitryssland. Anmärkningsvärda mål inkluderar ambassader från fyra länder: två i Europa och en vardera i Afrika och Sydasien. Förutom NightClub använder den här hotaktören också en annan uppsättning verktyg som kallas Disco.

Den ursprungliga versionen av NightClub fokuserar på två primära funktioner: att övervaka filer och extrahera data. Denna skadliga programvara skickar snattat innehåll till sin Command and Control-server (C&C) via e-post. Tidigare iterationer var begränsade till nedladdning av filer i format som Microsoft Word (.doc, .docx), Microsoft Excel (.xls, .xlsx) och PDF-dokument (.pdf).

Men versioner som släppts sedan 2016 har förmågan att hämta extra skadliga moduler från sin C&C-server. Även om i teorin skadlig programvara med förmågan att infiltrera ytterligare innehåll i infekterade enheter kan resultera i olika former av infektion, tenderar denna programvara i praktiken att fungera inom vissa begränsningar.

NightClub-attacker som initierats sedan 2020 introducerar en bakdörrsmodul, såväl som moduler för tangentloggning (fånga in typdata), ta skärmdumpar och spela in ljud genom integrerade eller anslutna mikrofoner.

Bakdörrsmodulen har förmågan att utföra olika kommandon, inklusive (men inte begränsat till): skapa processer, kopiera och flytta kataloger och läsa, flytta och radera filer.

Det är viktigt att notera att utvecklare av skadlig programvara ofta förbättrar sin programvara och sina metoder över tid. Vidare är NightClubs verksamhet kopplad till politiska och geopolitiska attacker. Dessa faktorer tyder på att potentiella kommande NightClub-kampanjer kan introducera andra eller ytterligare funktioner och funktioner.

Hur distribueras Infostealers vanligtvis online?

Infostealers, även känd som information stealers eller data stealers, är en typ av skadlig programvara som är utformad för att infiltrera ett offers enhet, samla in känslig information och skicka den till illvilliga aktörer. Dessa skadliga stammar syftar till att samla in värdefull data som inloggningsuppgifter, finansiell information, personlig information och mer. Infostealers kan distribueras genom olika onlinemetoder:

Skadliga e-postbilagor: Infostealers sprids ofta genom nätfiske-e-postmeddelanden som innehåller infekterade bilagor. Dessa bilagor kan vara förklädda som dokument (t.ex. PDF-filer, Word-filer), kalkylblad eller körbara filer. När offret öppnar bilagan exekveras skadlig programvara och enheten äventyras.

Skadliga länkar i e-postmeddelanden: Nätfiske-e-postmeddelanden kan också innehålla länkar till skadliga webbplatser. Att klicka på dessa länkar kan leda till drive-by-nedladdningar, där skadlig programvara automatiskt laddas ner och körs utan användarens vetskap.

Malvertising: Infostealers kan levereras genom skadliga annonser (malvertising) som visas på legitima webbplatser. Dessa annonser kan leda användare till webbplatser som är värd för exploateringssatser som kan leverera skadlig programvara till sårbara enheter.

Kompromissade eller falska webbplatser: Cyberkriminella kan skapa falska webbplatser eller kompromissa med legitima webbplatser för att vara värd för skadlig programvara. Användare som besöker dessa webbplatser kan omedvetet ladda ner och installera infostealers.

Gratisprogram och knäckt programvara: Cyberbrottslingar kan kombinera infostelare med knäckt programvara eller piratkopierat innehåll. När användare laddar ner och installerar dessa filer, installerar de oavsiktligt skadlig programvara.

Drive-by-nedladdningar: Drive-by-nedladdningar sker när ett besök på en komprometterad eller skadlig webbplats utlöser automatisk nedladdning och installation av skadlig programvara på användarens enhet.

Skadliga fildelningsnätverk: Infostealers kan distribueras via fildelningsnätverk, särskilt de som är värd för piratkopierad programvara eller innehåll. Användare som laddar ner och kör dessa filer kan omedvetet köra skadlig programvara.