Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Portes del darrere Porta del darrere de DarkNimbus

Porta del darrere de DarkNimbus

El Mezo el Portes del darrere, Amenaça persistent avançada (APT), Programari maliciós mòbil
Traduir a:
Català

Un grup d'amenaces no identificat anteriorment, ara designat Minotaure de la Terra, ha aparegut com un actor important en la vigilància cibernètica. Mitjançant eines sofisticades com el kit d'explotació MOONSHINE i una porta posterior identificada recentment anomenada DarkNimbus, Earth Minotaur ha demostrat la seva capacitat per orientar-se tant a dispositius Android com a Windows en un esforç calculat per infiltrar-se i controlar les comunitats tibetanes i uigurs.

El kit d’explotació MOONSHINE: una passarel·la per a amenaces multiplataforma

El centre d'operacions del Minotaure terrestre és el kit d'explotació MOONSHINE. Documentat originalment el 2019 durant ciberatacs a objectius tibetans, MOONSHINE explota les vulnerabilitats dels navegadors i aplicacions basats en Chromium per lliurar les seves càrregues útils. Des d'aleshores ha evolucionat, incorporant vulnerabilitats addicionals com CVE-2020-6418, un defecte del motor JavaScript V8 pegat per Google a principis del 2020.

El kit d'explotació és notablement versàtil. S'adreça a aplicacions com Google Chrome, WeChat, QQ i LINE i està dissenyat per infiltrar-se als dispositius de les víctimes mitjançant enllaços corruptes. Aquests enllaços sovint es disfressen de contingut benigne, com ara anuncis o multimèdia relacionats amb les comunitats tibetanes i uigurs, per maximitzar l'efectivitat de les tàctiques d'enginyeria social.

DarkNimbus: una porta posterior versàtil i intrusiva

Un cop MOONSHINE accedeix a un dispositiu, ofereix la porta posterior DarkNimbus, una eina dissenyada específicament per a la vigilància a llarg termini.

DarkNimbus a Android

La variant d'Android de DarkNimbus és excepcionalment intrusiva, aprofitant el protocol XMPP per comunicar-se amb els seus operadors. Està equipat per exfiltrar dades sensibles, com ara:

  • Metadades del dispositiu
  • Dades de geolocalització
  • Historial de trucades
  • Contactes i missatges
  • Adreces d'interès del navegador i contingut del porta-retalls

DarkNimbus també aprofita els serveis d'accessibilitat d'Android per interceptar missatges d'aplicacions de comunicació populars com WhatsApp, WeChat i Skype. A més, pot executar ordres de shell, gravar trucades, capturar captures de pantalla i fins i tot desinstal·lar-se per evadir la detecció.

DarkNimbus a Windows

Tot i que és menys rica en funcions, la versió de Windows segueix sent una eina potent per a l'exfiltració de dades. Actiu des de finals del 2020, pot capturar informació del sistema, pulsacions de tecles, dades del porta-retalls, credencials desades i historial del navegador.

Enginyeria social i cadenes d’explotació: l’anatomia d’un atac

El Minotaure de la Terra es basa en gran mesura en l'enginyeria social per atraure les víctimes a la seva trampa. Els enllaços amenaçadors incrustats a les aplicacions de missatgeria instantània redirigeixen les víctimes a un dels més de 55 servidors d'explotació MOONSHINE. Aquests servidors implementen diverses estratègies en funció del dispositiu de la víctima i de la configuració del navegador:

  • Execució de l'explotació : si s'identifiquen vulnerabilitats, el servidor instal·la la porta posterior de DarkNimbus.
  • Redirecció de pesca : si els exploits fallen, les víctimes poden trobar pàgines de pesca que les incitin a actualitzar els seus navegadors, cosa que pot comportar més compromisos.

En alguns casos, l'atac implica rebaixar el motor del navegador dins d'aplicacions com WeChat, substituint-lo per una versió troianitzada que facilita l'accés persistent.

L’abast global del Minotaure de la Terra

Les activitats del grup no estan limitades geogràficament. S'han identificat víctimes a 18 països, inclosos els Estats Units, el Canadà, l'Índia, Alemanya i Taiwan, destacant l'abast global de les seves operacions.

Mentre que MOONSHINE s'ha associat amb altres grups d'amenaça com POISON CARP i Earth Empusa, Earth Minotaur opera de manera independent. El focus del grup en les comunitats tibetanes i uigurs s'alinea amb campanyes similars d'adversaris com Evasive Panda i Scarlet Mimic. Tanmateix, el Minotaure de la Terra destaca per l'ús d'eines altament adaptables i cadenes d'infecció sofisticades.

L’evolució contínua de MOONSHINE

MOONSHINE continua sent un conjunt d'eines en desenvolupament actiu i es comparteix entre diversos actors d'amenaça, com UNC5221 i Earth Minotaur. El seu perfeccionament continuat posa de manifest la persistència dels adversaris dirigits a comunitats vulnerables.

Pensaments finals: reconèixer i mitigar l’amenaça

El Minotaure de la Terra exemplifica la creixent complexitat dels ciberatacs dirigits. Es demana als usuaris que mantinguin el programari actualitzat, que tinguin precaució amb els enllaços no sol·licitats i que estiguin vigilants davant els intents de pesca. A mesura que els actors de les amenaces perfeccionen les seves tàctiques, les mesures proactives de ciberseguretat segueixen sent la primera línia de defensa contra amenaces en evolució com el Minotaure de la Terra.

Tendència

Més vist

Carregant...