Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Backdoors DarkNimbus Backdoor

DarkNimbus Backdoor

Μέχρι το Mezo το Backdoors, Προηγμένη επίμονη απειλή (APT), Κακόβουλο λογισμικό για κινητά
Μετάφραση σε:
Ελληνικά

Μια προηγουμένως άγνωστη ομάδα απειλών, που τώρα ονομάζεται Γήινος Μινώταυρος, έχει εμφανιστεί ως σημαντικός παίκτης στην επιτήρηση στον κυβερνοχώρο. Χρησιμοποιώντας εξελιγμένα εργαλεία όπως το κιτ εκμετάλλευσης MOONSHINE και μια νέα κερκόπορτα που ονομάστηκε DarkNimbus, ο Earth Minotaur απέδειξε την ικανότητά του να στοχεύει συσκευές Android και Windows σε μια υπολογισμένη προσπάθεια διείσδυσης και παρακολούθησης των κοινοτήτων Θιβέτ και Ουιγούρων.

Το MOONSHINE Exploit Kit: A Gateway for Cross-Platform Threats

Κεντρικό στοιχείο στις λειτουργίες του Earth Minotaur είναι το κιτ εκμετάλλευσης MOONSHINE. Αρχικά τεκμηριώθηκε το 2019 κατά τη διάρκεια κυβερνοεπιθέσεων σε θιβετιανούς στόχους, το MOONSHINE εκμεταλλεύεται ευπάθειες σε προγράμματα περιήγησης και εφαρμογές που βασίζονται στο Chromium για να παραδώσει τα ωφέλιμα φορτία του. Έκτοτε έχει εξελιχθεί, ενσωματώνοντας πρόσθετα τρωτά σημεία όπως το CVE-2020-6418, ένα ελάττωμα στη μηχανή JavaScript V8 που διορθώθηκε από την Google στις αρχές του 2020.

Το κιτ εκμετάλλευσης είναι ιδιαίτερα ευέλικτο. Στοχεύει εφαρμογές όπως το Google Chrome, το WeChat, το QQ και το LINE και έχει σχεδιαστεί για να διεισδύει στις συσκευές των θυμάτων μέσω κατεστραμμένων συνδέσμων. Αυτοί οι σύνδεσμοι συχνά μεταμφιέζονται ως καλοήθεις περιεχόμενο, όπως ανακοινώσεις ή πολυμέσα που σχετίζονται με τις κοινότητες του Θιβέτ και των Ουιγούρων, για να μεγιστοποιηθεί η αποτελεσματικότητα των τακτικών κοινωνικής μηχανικής.

DarkNimbus: Μια ευέλικτη και παρεμβατική κερκόπορτα

Μόλις το MOONSHINE αποκτήσει πρόσβαση σε μια συσκευή, παρέχει την κερκόπορτα DarkNimbus, ένα εργαλείο ειδικά σχεδιασμένο για μακροχρόνια παρακολούθηση.

DarkNimbus στο Android

Η παραλλαγή Android του DarkNimbus είναι εξαιρετικά παρεμβατική, αξιοποιώντας το πρωτόκολλο XMPP για την επικοινωνία με τους χειριστές του. Είναι εξοπλισμένο για την εξαγωγή ευαίσθητων δεδομένων, όπως:

  • Μεταδεδομένα συσκευής
  • Δεδομένα γεωγραφικής θέσης
  • Ιστορικό κλήσεων
  • Επαφές και μηνύματα
  • Σελιδοδείκτες προγράμματος περιήγησης και περιεχόμενο του προχείρου

Το DarkNimbus εκμεταλλεύεται επίσης τις υπηρεσίες προσβασιμότητας του Android για να υποκλέψει μηνύματα από δημοφιλείς εφαρμογές επικοινωνίας όπως το WhatsApp, το WeChat και το Skype. Επιπλέον, μπορεί να εκτελέσει εντολές φλοιού, να καταγράφει κλήσεις, να τραβήξει στιγμιότυπα οθόνης και ακόμη και να απεγκαταστήσει τον εαυτό του για να αποφύγει τον εντοπισμό.

DarkNimbus στα Windows

Αν και λιγότερο πλούσια σε χαρακτηριστικά, η έκδοση των Windows παραμένει ένα ισχυρό εργαλείο για την εξαγωγή δεδομένων. Ενεργό από τα τέλη του 2020, μπορεί να καταγράψει πληροφορίες συστήματος, πληκτρολογήσεις, δεδομένα προχείρου, αποθηκευμένα διαπιστευτήρια και ιστορικό προγράμματος περιήγησης.

Social Engineering and Exploit Chains: The Anatomy of a Attack

Ο Μινώταυρος της Γης βασίζεται σε μεγάλο βαθμό στην κοινωνική μηχανική για να παρασύρει τα θύματα στην παγίδα του. Απειλητικοί σύνδεσμοι που είναι ενσωματωμένοι σε εφαρμογές ανταλλαγής άμεσων μηνυμάτων ανακατευθύνουν τα θύματα σε έναν από τους περισσότερους από 55 διακομιστές εκμετάλλευσης MOONSHINE. Αυτοί οι διακομιστές αναπτύσσουν διάφορες στρατηγικές με βάση τη διαμόρφωση της συσκευής και του προγράμματος περιήγησης του θύματος:

  • Εκτέλεση Exploit : Εάν εντοπιστούν ευπάθειες, ο διακομιστής εγκαθιστά την κερκόπορτα DarkNimbus.
  • Ανακατεύθυνση phishing : Εάν αποτύχουν οι εκμεταλλεύσεις, τα θύματα ενδέχεται να αντιμετωπίσουν σελίδες ηλεκτρονικού ψαρέματος που τους παροτρύνουν να ενημερώσουν τα προγράμματα περιήγησής τους, κάτι που μπορεί να οδηγήσει σε περαιτέρω συμβιβασμούς.

Σε ορισμένες περιπτώσεις, η επίθεση περιλαμβάνει την υποβάθμιση της μηχανής του προγράμματος περιήγησης εντός εφαρμογών όπως το WeChat, αντικαθιστώντας την με μια trojanized έκδοση που διευκολύνει τη μόνιμη πρόσβαση.

Παγκόσμια εμβέλεια του Μινώταυρου της Γης

Οι δραστηριότητες της ομάδας δεν είναι γεωγραφικά περιορισμένες. Τα θύματα έχουν εντοπιστεί σε 18 χώρες, συμπεριλαμβανομένων των ΗΠΑ, του Καναδά, της Ινδίας, της Γερμανίας και της Ταϊβάν, υπογραμμίζοντας το παγκόσμιο εύρος των δραστηριοτήτων της.

Ενώ το MOONSHINE έχει συσχετιστεί με άλλες ομάδες απειλών όπως το POISON CARP και το Earth Empusa, ο Earth Minotaur λειτουργεί ανεξάρτητα. Η εστίαση της ομάδας στις κοινότητες Θιβετιανών και Ουιγούρων ευθυγραμμίζεται με παρόμοιες εκστρατείες αντιπάλων όπως το Evasive Panda και το Scarlet Mimic. Ωστόσο, ο Μινώταυρος της Γης ξεχωρίζει για τη χρήση εξαιρετικά προσαρμόσιμων εργαλείων και εξελιγμένων αλυσίδων μόλυνσης.

Η Συνεχιζόμενη Εξέλιξη της ΣΕΛΗΝΗΣ

Το MOONSHINE παραμένει μια εργαλειοθήκη υπό ενεργό ανάπτυξη και μοιράζεται μεταξύ διαφόρων παραγόντων απειλών, συμπεριλαμβανομένων των UNC5221 και Earth Minotaur. Η συνεχής τελειοποίησή του υπογραμμίζει την επιμονή των αντιπάλων που στοχεύουν ευάλωτες κοινότητες.

Τελικές σκέψεις: Αναγνώριση και μετριασμός της απειλής

Ο Μινώταυρος της Γης αποτελεί παράδειγμα της αυξανόμενης πολυπλοκότητας των στοχευμένων κυβερνοεπιθέσεων. Οι χρήστες προτρέπονται να διατηρούν ενημερωμένο λογισμικό, να είναι προσεκτικοί με τους ανεπιθύμητους συνδέσμους και να παραμείνουν σε επαγρύπνηση έναντι απόπειρες phishing. Καθώς οι φορείς απειλών βελτιώνουν τις τακτικές τους, τα προληπτικά μέτρα κυβερνοασφάλειας παραμένουν η πρώτη γραμμή άμυνας ενάντια σε εξελισσόμενες απειλές όπως ο Μινώταυρος της Γης.

Τάσεις

Περισσότερες εμφανίσεις

Αναδυόμενα παράθυρα "Εάν είστε 18, πατήστε...

Ψεύτικα προειδοποιητικά μηνύματα
26,636
Τα αναδυόμενα παράθυρα «Εάν είστε 18 ετών Πατήστε Επιτρέψτε» είναι ένας τύπος αναδυόμενης διαφήμισης που εμφανίζεται στην οθόνη ενός χρήστη κατά την περιήγηση στο Διαδίκτυο. Αυτά τα αναδυόμενα παράθυρα μπορεί να είναι αρκετά ανησυχητικά για τους χρήστες, καθώς τους προτρέπουν να κάνουν κλικ στο κουμπί "να επιτρέπεται" για να συνεχίσουν να χρησιμοποιούν τον ιστότοπο στον οποίο βρίσκονται αυτήν...
Φόρτωση...