Slevová nabídka pro více licencí
Databáze hrozeb Zadní vrátka DarkNimbus Backdoor

DarkNimbus Backdoor

V roce Mezo v roce Zadní vrátka, Pokročilá trvalá hrozba (APT), Mobilní malware
Přeložit do:
Čeština

Dříve neidentifikovaná skupina ohrožení, nyní označená jako Zemský Minotaur, se objevila jako významný hráč v kybernetickém sledování. Pomocí sofistikovaných nástrojů, jako je exploit kit MOONSHINE a nově identifikovaná zadní vrátka nazvaná DarkNimbus, Earth Minotaur prokázal svou schopnost zaměřit se na zařízení Android i Windows ve vypočítaném úsilí infiltrovat a monitorovat tibetské a ujgurské komunity.

MOONSHINE Exploit Kit: Brána pro hrozby napříč platformami

Ústředním bodem operací pozemského Minotaura je exploit kit MOONSHINE. MOONSHINE, původně zdokumentovaný v roce 2019 během kybernetických útoků na tibetské cíle, využívá zranitelnosti v prohlížečích a aplikacích založených na Chromiu k poskytování svých užitečných dat. Od té doby se vyvinul a obsahuje další zranitelnosti, jako je CVE-2020-6418, chyba v enginu JavaScriptu V8, který Google opravoval na začátku roku 2020.

Exploit kit je pozoruhodně univerzální. Zaměřuje se na aplikace jako Google Chrome, WeChat, QQ a LINE a je navržen tak, aby infiltroval zařízení obětí prostřednictvím poškozených odkazů. Tyto odkazy jsou často maskovány jako neškodný obsah, jako jsou oznámení nebo multimédia týkající se tibetské a ujgurské komunity, aby se maximalizovala účinnost taktiky sociálního inženýrství.

DarkNimbus: Všestranná a rušivá zadní vrátka

Jakmile MOONSHINE získá přístup k zařízení, poskytne backdoor DarkNimbus, nástroj speciálně navržený pro dlouhodobé sledování.

DarkNimbus na Androidu

Android varianta DarkNimbus je výjimečně rušivá a využívá protokol XMPP ke komunikaci se svými operátory. Je vybaven k exfiltraci citlivých dat, včetně:

  • Metadata zařízení
  • Geolokační údaje
  • Historie hovorů
  • Kontakty a zprávy
  • Záložky prohlížeče a obsah schránky

DarkNimbus také využívá služby přístupnosti Androidu k zachycení zpráv z populárních komunikačních aplikací jako WhatsApp, WeChat a Skype. Kromě toho může spouštět příkazy shellu, nahrávat hovory, pořizovat snímky obrazovky a dokonce se odinstalovat, aby se vyhnul detekci.

DarkNimbus na Windows

Přestože je verze pro Windows méně bohatá na funkce, zůstává účinným nástrojem pro exfiltraci dat. Aktivní od konce roku 2020, dokáže zachytit systémové informace, stisknuté klávesy, data schránky, uložené přihlašovací údaje a historii prohlížeče.

Sociální inženýrství a exploitní řetězce: Anatomie útoku

Zemský Minotaurus se při lákání obětí do své pasti silně spoléhá na sociální inženýrství. Hrozivé odkazy vložené do aplikací pro rychlé zasílání zpráv přesměrovávají oběti na jeden z více než 55 serverů MOONSHINE exploit. Tyto servery nasazují různé strategie založené na zařízení oběti a konfiguraci prohlížeče:

  • Exploit Execution : Pokud jsou identifikovány zranitelnosti, server nainstaluje backdoor DarkNimbus.
  • Přesměrování phishingu : Pokud selžou exploity, mohou se oběti setkat s phishingovými stránkami, které je vyzývají k aktualizaci prohlížeče, což může vést k dalším kompromisům.

V některých případech útok zahrnuje downgrade enginu prohlížeče v aplikacích, jako je WeChat, a jeho nahrazení trojanizovanou verzí, která usnadňuje trvalý přístup.

Globální dosah zemského Minotaura

Činnost skupiny není geograficky omezena. Oběti byly identifikovány v 18 zemích, včetně USA, Kanady, Indie, Německa a Tchaj-wanu, což zdůrazňuje globální rozsah jejích operací.

Zatímco MOONSHINE byl spojen s jinými skupinami ohrožení, jako je POISON CARP a Earth Empusa, Earth Minotaur funguje nezávisle. Zaměření skupiny na tibetské a ujgurské komunity je v souladu s podobnými kampaněmi protivníků, jako jsou Evasive Panda a Scarlet Mimic. Země Minotaur však vyniká tím, že používá vysoce adaptabilní nástroje a sofistikované infekční řetězce.

Pokračující vývoj MOONSHINE

MOONSHINE zůstává sadou nástrojů, která se aktivně vyvíjí a je sdílena různými aktéry hrozeb, včetně UNC5221 a Earth Minotaur. Jeho pokračující zdokonalování podtrhuje vytrvalost protivníků zaměřených na zranitelné komunity.

Závěrečné myšlenky: Rozpoznání a zmírnění hrozby

Zemský Minotaur je příkladem rostoucí složitosti cílených kybernetických útoků. Uživatelé jsou vyzýváni, aby udržovali aktualizovaný software, byli opatrní s nevyžádanými odkazy a byli ostražití před pokusy o phishing. Jak aktéři hrozeb zdokonalují svou taktiku, proaktivní opatření kybernetické bezpečnosti zůstávají první linií obrany proti vyvíjejícím se hrozbám, jako je Zemský Minotaur.

Trendy

Nejvíce shlédnuto

Načítání...