DarkNimbus Backdoor
По-рано неидентифицирана заплашваща група, сега наречена Earth Minotaur, се появи като важен играч в кибернаблюдението. Използвайки усъвършенствани инструменти като експлойт комплекта MOONSHINE и новооткрита задна вратичка, наречена DarkNimbus, Earth Minotaur демонстрира способността си да се насочва както към устройства с Android, така и към Windows в изчислено усилие да проникне и наблюдава тибетските и уйгурските общности.
Съдържание
Комплектът за експлоатация на MOONSHINE: Портал за междуплатформени заплахи
Централна част от операциите на Earth Minotaur е комплектът за експлойт MOONSHINE. Първоначално документиран през 2019 г. по време на кибератаки срещу цели в Тибет, MOONSHINE използва уязвимости в браузъри и приложения, базирани на Chromium, за да достави своите полезни товари. Оттогава той еволюира, включвайки допълнителни уязвимости като CVE-2020-6418, недостатък във V8 JavaScript двигателя, коригиран от Google в началото на 2020 г.
Комплектът за експлойт е изключително гъвкав. Той е насочен към приложения като Google Chrome, WeChat, QQ и LINE и е предназначен да проникне в устройствата на жертвите чрез повредени връзки. Тези връзки често са маскирани като доброкачествено съдържание, като съобщения или мултимедия, свързани с тибетските и уйгурските общности, за да се увеличи максимално ефективността на тактиките за социално инженерство.
DarkNimbus: Гъвкава и натрапчива задна врата
След като MOONSHINE получи достъп до устройство, той предоставя задната врата DarkNimbus, инструмент, специално проектиран за дългосрочно наблюдение.
DarkNimbus на Android
Android вариантът на DarkNimbus е изключително натрапчив, като използва протокола XMPP за комуникация със своите оператори. Той е оборудван за ексфилтриране на чувствителни данни, включително:
- Метаданни на устройството
- Данни за геолокация
- История на обажданията
- Контакти и съобщения
- Отметки на браузъра и съдържание на клипборда
DarkNimbus също използва услугите за достъпност на Android, за да прихваща съобщения от популярни комуникационни приложения като WhatsApp, WeChat и Skype. Освен това, той може да изпълнява команди на обвивката, да записва обаждания, да заснема екранни снимки и дори да се деинсталира, за да избегне откриването.
DarkNimbus на Windows
Макар и по-малко богата на функции, версията за Windows остава мощен инструмент за кражба на данни. Активен от края на 2020 г., той може да улавя системна информация, натискания на клавиши, данни от клипборда, запазени идентификационни данни и история на браузъра.
Социално инженерство и експлоатационни вериги: Анатомията на една атака
Земният минотавър разчита до голяма степен на социалното инженерство, за да примами жертвите в своя капан. Заплашителни връзки, вградени в приложения за незабавни съобщения, пренасочват жертвите към един от над 55 сървъра за експлоатация на MOONSHINE. Тези сървъри прилагат различни стратегии въз основа на устройството на жертвата и конфигурацията на браузъра:
- Изпълнение на експлойт : Ако се идентифицират уязвимости, сървърът инсталира задната врата на DarkNimbus.
- Пренасочване на фишинг : Ако експлойтите се провалят, жертвите може да се натъкнат на фишинг страници, които ги призовават да актуализират своите браузъри, което може да доведе до допълнителни компромиси.
В някои случаи атаката включва понижаване на двигателя на браузъра в приложения като WeChat, замяната му с троянизирана версия, която улеснява постоянния достъп.
Глобалният обсег на земния минотавър
Дейността на групата не е географски ограничена. Жертвите са идентифицирани в 18 държави, включително САЩ, Канада, Индия, Германия и Тайван, което подчертава глобалния обхват на операциите.
Докато MOONSHINE се свързва с други заплашителни групи като POISON CARP и Earth Empusa, Earth Minotaur действа независимо. Фокусът на групата върху тибетските и уйгурските общности е в съответствие с подобни кампании на противници като Evasive Panda и Scarlet Mimic. Въпреки това, Earth Minotaur се откроява с използването на силно адаптивни инструменти и сложни вериги за заразяване.
Продължаващата еволюция на MOONSHINE
MOONSHINE остава инструментариум в процес на активно развитие и се споделя между различни заплахи, включително UNC5221 и Earth Minotaur. Продължаващото му усъвършенстване подчертава упоритостта на противниците, насочени към уязвими общности.
Последни мисли: Разпознаване и смекчаване на заплахата
Земният минотавър е пример за нарастващата сложност на целенасочените кибератаки. Потребителите се призовават да поддържат актуализиран софтуер, да внимават с непоискани връзки и да останат бдителни срещу опити за фишинг. Тъй като заплахите усъвършенстват своите тактики, проактивните мерки за киберсигурност остават първата линия на защита срещу развиващи се заплахи като Земния Минотавър.
