باب خلفي لـ DarkNimbus
ظهرت مجموعة تهديد لم يتم التعرف عليها من قبل، والتي تسمى الآن Earth Minotaur، كلاعب مهم في مجال المراقبة السيبرانية. باستخدام أدوات متطورة مثل مجموعة MOONSHINE وبرنامج خبيث تم التعرف عليه مؤخرًا يسمى DarkNimbus، أثبتت Earth Minotaur قدرتها على استهداف كل من أجهزة Android وWindows في محاولة محسوبة للتسلل ومراقبة المجتمعات التبتية والأويغورية.
جدول المحتويات
مجموعة أدوات MOONSHINE Exploit Kit: بوابة للتهديدات عبر الأنظمة الأساسية
إن أهم ما يميز عمليات Earth Minotaur هو مجموعة أدوات الاستغلال MOONSHINE. وقد تم توثيقها في الأصل في عام 2019 أثناء الهجمات الإلكترونية على أهداف في التبت، حيث تستغل مجموعة أدوات MOONSHINE نقاط الضعف في متصفحات وتطبيقات Chromium لتوصيل حمولاتها. وقد تطورت منذ ذلك الحين، حيث تضمنت نقاط ضعف إضافية مثل CVE-2020-6418، وهو خلل في محرك JavaScript V8 تم تصحيحه بواسطة Google في أوائل عام 2020.
تتميز مجموعة الاستغلال هذه بتعدد استخداماتها. فهي تستهدف تطبيقات مثل Google Chrome وWeChat وQQ وLINE، وهي مصممة للتسلل إلى أجهزة الضحايا من خلال روابط فاسدة. وغالبًا ما يتم إخفاء هذه الروابط في هيئة محتوى حميد، مثل الإعلانات أو الوسائط المتعددة المتعلقة بالمجتمعات التبتية والأويغورية، لتعظيم فعالية تكتيكات الهندسة الاجتماعية.
DarkNimbus: باب خلفي متعدد الاستخدامات ومتطفل
بمجرد أن يتمكن MOONSHINE من الوصول إلى جهاز ما، فإنه يقوم بتوصيل الباب الخلفي DarkNimbus، وهي أداة مصممة خصيصًا للمراقبة طويلة المدى.
DarkNimbus على Android
النسخة التي تعمل بنظام Android من DarkNimbus تطفلية بشكل استثنائي، حيث تستفيد من بروتوكول XMPP للتواصل مع مشغليها. وهي مجهزة لاستخراج البيانات الحساسة، بما في ذلك:
- بيانات تعريف الجهاز
- بيانات تحديد الموقع الجغرافي
- سجل المكالمات
- جهات الاتصال والرسائل
- إشارات مرجعية للمتصفح ومحتوى الحافظة
كما يستغل DarkNimbus خدمات إمكانية الوصول في نظام أندرويد لاعتراض الرسائل من تطبيقات الاتصالات الشهيرة مثل WhatsApp وWeChat وSkype. بالإضافة إلى ذلك، يمكنه تنفيذ أوامر shell وتسجيل المكالمات والتقاط لقطات شاشة وحتى إلغاء تثبيت نفسه لتجنب الكشف.
DarkNimbus على نظام التشغيل Windows
على الرغم من قلة الميزات، تظل نسخة Windows أداة فعالة لاستخراج البيانات. فهي نشطة منذ أواخر عام 2020، ويمكنها التقاط معلومات النظام وضغطات المفاتيح وبيانات الحافظة وبيانات الاعتماد المحفوظة وسجل المتصفح.
الهندسة الاجتماعية وسلاسل الاستغلال: تشريح الهجوم
يعتمد Earth Minotaur بشكل كبير على الهندسة الاجتماعية لجذب الضحايا إلى فخه. تعمل الروابط المهددة المضمنة في تطبيقات المراسلة الفورية على إعادة توجيه الضحايا إلى أحد أكثر من 55 خادمًا لاستغلال MOONSHINE. تنشر هذه الخوادم استراتيجيات مختلفة بناءً على جهاز الضحية وتكوين المتصفح:
- تنفيذ الاستغلال : إذا تم تحديد الثغرات الأمنية، يقوم الخادم بتثبيت الباب الخلفي DarkNimbus.
- إعادة التوجيه عبر التصيد الاحتيالي : إذا فشلت عمليات الاستغلال، فقد يواجه الضحايا صفحات تصيد احتيالي تحثهم على تحديث متصفحاتهم، مما قد يؤدي إلى مزيد من الاختراقات.
في بعض الحالات، يتضمن الهجوم تخفيض مستوى محرك المتصفح داخل تطبيقات مثل WeChat، واستبداله بإصدار به حصان طروادة يسهل الوصول المستمر.
الوصول العالمي لمينوتور الأرض
ولا تقتصر أنشطة المجموعة على نطاق جغرافي محدد. فقد تم التعرف على الضحايا في 18 دولة، بما في ذلك الولايات المتحدة وكندا والهند وألمانيا وتايوان، وهو ما يسلط الضوء على النطاق العالمي لعملياتها.
في حين ارتبطت MOONSHINE بمجموعات تهديد أخرى مثل POISON CARP وEarth Empusa، تعمل Earth Minotaur بشكل مستقل. ويتماشى تركيز المجموعة على المجتمعات التبتية والأويغورية مع حملات مماثلة من قبل خصوم مثل Evasive Panda وScarlet Mimic. ومع ذلك، تتميز Earth Minotaur باستخدامها لأدوات قابلة للتكيف بدرجة عالية وسلاسل عدوى متطورة.
التطور المستمر لمشروب MOONSHINE
لا تزال MOONSHINE عبارة عن مجموعة أدوات قيد التطوير النشط ويتم مشاركتها بين العديد من الجهات الفاعلة في مجال التهديد، بما في ذلك UNC5221 وEarth Minotaur. ويؤكد التطوير المستمر لها على استمرار الخصوم في استهداف المجتمعات الضعيفة.
الأفكار النهائية: التعرف على التهديد والتخفيف من حدته
يُعَد Earth Minotaur مثالاً واضحاً على التعقيد المتزايد للهجمات الإلكترونية المستهدفة. ونحث المستخدمين على تحديث البرامج، وممارسة الحذر عند التعامل مع الروابط غير المرغوب فيها، والبقاء يقظين ضد محاولات التصيد الاحتيالي. ومع قيام الجهات الفاعلة في مجال التهديد بتحسين تكتيكاتها، تظل تدابير الأمن السيبراني الاستباقية هي خط الدفاع الأول ضد التهديدات المتطورة مثل Earth Minotaur.
