# NightClub > Tipo: **malware** · S1090 · [MITRE ATT&CK](https://attack.mitre.org/software/S1090) ## Descrição [[s1090-nightclub|NightClub]] é um implante modular escrito em C++ utilizado pelo [[g1019-moustachedbouncer|MoustachedBouncer]] desde pelo menos 2014. O grupo é conhecido por realizar ataques de adversário-no-meio (AitM) em nível de ISP para redirecionar tráfego legítimo de Windows Updaté e entregar o NightClub como payload, uma técnica altamente sofisticada que demonstra acesso privilegiado à infraestrutura de telecomúnicações da Bielorrússia. A arquitetura modular do NightClub permite aos operadores adicionar plugins específicos conforme as necessidades da operação. Entre as capacidades documentadas estão keylogging, captura de tela, descoberta de arquivos e exfiltração via protocolos de e-mail (SMTP/IMAP) e DNS, com encodings não-padronizados para evasão de inspeção de tráfego. O malware mascara suas tarefas agendadas e serviços imitando componentes legítimos do sistema operacional. O NightClub foi identificado em campanhas de espionagem contra embaixadas estrangeiras e diplomatas baseados na Bielorrússia, refletindo o perfil de inteligência de estado do [[g1019-moustachedbouncer|MoustachedBouncer]]. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1543-003-windows-service|T1543.003 - Windows Service]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name or Location]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1106-native-api|T1106 - Native API]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1071-004-dns|T1071.004 - DNS]] - [[t1070-006-timestomp|T1070.006 - Timestomp]] - [[t1132-002-non-standard-encoding|T1132.002 - Non-Standard Encoding]] - [[t1071-003-mail-protocols|T1071.003 - Mail Protocols]] - [[t1036-004-masquerade-task-or-service|T1036.004 - Masquerade Task or Service]] - [[t1010-application-window-discovery|T1010 - Application Window Discovery]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] ## Grupos que Usam - [[g1019-moustachedbouncer|MoustachedBouncer]] ## Detecção - Monitorar tráfego DNS com encodings não-convencionais ou payloads em subdomínios excessivamente longos ([[t1071-004-dns|T1071.004]]) - Detectar conexões SMTP/IMAP iniciadas por processos não relacionados a clientes de e-mail - Alertar para timestomping de arquivos do sistema ([[t1070-006-timestomp|T1070.006]]) - Monitorar criação de serviços Windows com nomes que imitam componentes do SO ([[t1543-003-windows-service|T1543.003]]) - Revisar capturas de tela e keyloggers via análise comportamental do endpoint (EDR) ## Relevância LATAM/Brasil A técnica de intercepção em nível de ISP empregada pelo [[g1019-moustachedbouncer|MoustachedBouncer]] para entregar o NightClub é de particular relevância para o Brasil, onde diversas missões diplomáticas e embaixadas estrangeiras operam. Organizações governamentais brasileiras e missões diplomáticas no país devem considerar que infraestrutura de telecomúnicações comprometida pode ser um vetor de distribuição de implantes similares, especialmente em contextos de espionagem interestatal. ## Referências - [MITRE ATT&CK - S1090](https://attack.mitre.org/software/S1090)