Rabattilbud med flere licenser
Trusseldatabase Bagdøre DarkNimbus Bagdør

DarkNimbus Bagdør

Med Mezo i Bagdøre, Advanced Persistent Threat (APT), Mobil malware
Oversæt til:
Dansk

En tidligere uidentificeret trusselsgruppe, nu betegnet Earth Minotaur, er dukket op som en betydelig aktør inden for cyberovervågning. Ved at bruge sofistikerede værktøjer som MOONSHINE exploit-sættet og en nyligt identificeret bagdør kaldet DarkNimbus, har Earth Minotaur demonstreret sin evne til at målrette mod både Android- og Windows-enheder i en kalkuleret indsats for at infiltrere og overvåge de tibetanske og uiguriske samfund.

MOONSHINE Exploit Kit: En gateway til trusler på tværs af platforme

Centralt for Jordens Minotaurs operationer er MOONSHINE udnyttelsessættet. Oprindeligt dokumenteret i 2019 under cyberangreb på tibetanske mål, udnytter MOONSHINE sårbarheder i Chromium-baserede browsere og applikationer til at levere deres nyttelast. Den har siden udviklet sig og har inkorporeret yderligere sårbarheder såsom CVE-2020-6418, en fejl i V8 JavaScript-motoren, som Google fik rettet i begyndelsen af 2020.

Udnyttelsessættet er særdeles alsidigt. Den er rettet mod applikationer som Google Chrome, WeChat, QQ og LINE og er designet til at infiltrere ofres enheder gennem korrupte links. Disse links er ofte forklædt som godartet indhold, såsom meddelelser eller multimedier relateret til de tibetanske og uiguriske samfund, for at maksimere effektiviteten af social engineering taktik.

DarkNimbus: En alsidig og påtrængende bagdør

Når MOONSHINE får adgang til en enhed, leverer den DarkNimbus-bagdøren, et værktøj specielt udviklet til langtidsovervågning.

DarkNimbus på Android

Android-varianten af DarkNimbus er usædvanligt påtrængende og udnytter XMPP-protokollen til at kommunikere med sine operatører. Den er udstyret til at eksfiltrere følsomme data, herunder:

  • Enhedens metadata
  • Geolokaliseringsdata
  • Opkaldshistorik
  • Kontakter og beskeder
  • Browserbogmærker og udklipsholderindhold

DarkNimbus udnytter også Androids tilgængelighedstjenester til at opsnappe beskeder fra populære kommunikationsapplikationer som WhatsApp, WeChat og Skype. Derudover kan den udføre shell-kommandoer, optage opkald, tage skærmbilleder og endda afinstallere sig selv for at undgå registrering.

DarkNimbus på Windows

Selvom Windows-versionen er mindre rig på funktioner, forbliver den et potent værktøj til dataeksfiltrering. Aktiv siden slutningen af 2020, den kan fange systemoplysninger, tastetryk, udklipsholderdata, gemte legitimationsoplysninger og browserhistorik.

Social Engineering and Exploit Chains: Anatomy of an Attack

Earth Minotaur er stærkt afhængig af social engineering for at lokke ofre i sin fælde. Truende links indlejret i instant messaging-apps omdirigerer ofre til en af over 55 MOONSHINE-udnyttelsesservere. Disse servere implementerer forskellige strategier baseret på ofrets enhed og browserkonfiguration:

  • Udnyttelsesudførelse : Hvis sårbarheder identificeres, installerer serveren DarkNimbus-bagdøren.
  • Phishing-omdirigering : Hvis udnyttelser mislykkes, kan ofre støde på phishing-sider, der opfordrer dem til at opdatere deres browsere, hvilket kan føre til yderligere kompromiser.

I nogle tilfælde involverer angrebet en nedgradering af browsermotoren i applikationer som WeChat, og erstatter den med en trojaniseret version, der letter vedvarende adgang.

Earth Minotaurs globale rækkevidde

Koncernens aktiviteter er ikke geografisk begrænset. Ofre er blevet identificeret i 18 lande, herunder USA, Canada, Indien, Tyskland og Taiwan, hvilket fremhæver det globale omfang af dets operationer.

Mens MOONSHINE er blevet forbundet med andre trusselsgrupper som POISON CARP og Earth Empusa, opererer Earth Minotaur uafhængigt. Gruppens fokus på tibetanske og uiguriske samfund stemmer overens med lignende kampagner fra modstandere som Evasive Panda og Scarlet Mimic. Men Earth Minotaur skiller sig ud for sin brug af meget tilpasningsdygtige værktøjer og sofistikerede infektionskæder.

Den igangværende udvikling af MOONSHINE

MOONSHINE forbliver et værktøjssæt under aktiv udvikling og deles mellem forskellige trusselsaktører, herunder UNC5221 og Earth Minotaur. Dens fortsatte forfining understreger modstandernes vedholdenhed, der retter sig mod sårbare samfund.

Afsluttende tanker: Erkendelse og afbødning af truslen

Earth Minotaur eksemplificerer den voksende kompleksitet af målrettede cyberangreb. Brugere opfordres til at vedligeholde opdateret software, udvise forsigtighed med uopfordrede links og være på vagt over for phishing-forsøg. Mens trusselsaktører forfiner deres taktik, forbliver proaktive cybersikkerhedsforanstaltninger den første forsvarslinje mod udviklende trusler som Earth Minotaur.

Trending

Mest sete

Indlæser...