DarkNimbus Backdoor

पहले से अज्ञात खतरा समूह, जिसे अब अर्थ मिनोटौर नाम दिया गया है, साइबर निगरानी में एक महत्वपूर्ण खिलाड़ी के रूप में सामने आया है। MOONSHINE एक्सप्लॉइट किट और डार्कनिंबस नामक एक नए पहचाने गए बैकडोर जैसे परिष्कृत उपकरणों का उपयोग करके, अर्थ मिनोटौर ने तिब्बती और उइगर समुदायों में घुसपैठ करने और उनकी निगरानी करने के लिए एक सुनियोजित प्रयास में एंड्रॉइड और विंडोज दोनों डिवाइस को लक्षित करने की अपनी क्षमता का प्रदर्शन किया है।

मूनशाइन एक्सप्लॉइट किट: क्रॉस-प्लेटफॉर्म खतरों के लिए एक प्रवेश द्वार

पृथ्वी मिनोटौर के संचालन का केंद्र MOONSHINE एक्सप्लॉइट किट है। मूल रूप से तिब्बती लक्ष्यों पर साइबर हमलों के दौरान 2019 में प्रलेखित, MOONSHINE अपने पेलोड को वितरित करने के लिए क्रोमियम-आधारित ब्राउज़रों और अनुप्रयोगों में कमजोरियों का फायदा उठाता है। तब से यह विकसित हुआ है, जिसमें CVE-2020-6418 जैसी अतिरिक्त कमजोरियाँ शामिल हैं, जो V8 जावास्क्रिप्ट इंजन में एक दोष है जिसे Google ने 2020 की शुरुआत में पैच किया था।

एक्सप्लॉइट किट विशेष रूप से बहुमुखी है। यह Google Chrome, WeChat, QQ और LINE जैसे अनुप्रयोगों को लक्षित करता है और भ्रष्ट लिंक के माध्यम से पीड़ितों के उपकरणों में घुसपैठ करने के लिए डिज़ाइन किया गया है। इन लिंक को अक्सर सौम्य सामग्री के रूप में प्रच्छन्न किया जाता है, जैसे कि तिब्बती और उइगर समुदायों से संबंधित घोषणाएँ या मल्टीमीडिया, ताकि सामाजिक इंजीनियरिंग रणनीति की प्रभावशीलता को अधिकतम किया जा सके।

डार्कनिम्बस: एक बहुमुखी और घुसपैठिया बैकडोर

एक बार जब MOONSHINE को किसी डिवाइस तक पहुंच मिल जाती है, तो वह डार्कनिम्बस बैकडोर प्रदान करता है, जो विशेष रूप से दीर्घकालिक निगरानी के लिए बनाया गया उपकरण है।

एंड्रॉयड पर डार्कनिम्बस

डार्कनिंबस का एंड्रॉइड संस्करण असाधारण रूप से घुसपैठिया है, जो अपने ऑपरेटरों के साथ संवाद करने के लिए XMPP प्रोटोकॉल का लाभ उठाता है। यह संवेदनशील डेटा को बाहर निकालने के लिए सुसज्जित है, जिसमें शामिल हैं:

• डिवाइस मेटाडेटा
• भौगोलिक स्थान डेटा
• कॉल इतिहास
• संपर्क और संदेश
• ब्राउज़र बुकमार्क और क्लिपबोर्ड सामग्री

डार्कनिंबस व्हाट्सएप, वीचैट और स्काइप जैसे लोकप्रिय संचार अनुप्रयोगों से संदेशों को रोकने के लिए एंड्रॉइड की एक्सेसिबिलिटी सेवाओं का भी फायदा उठाता है। इसके अतिरिक्त, यह शेल कमांड निष्पादित कर सकता है, कॉल रिकॉर्ड कर सकता है, स्क्रीनशॉट कैप्चर कर सकता है और यहां तक कि पहचान से बचने के लिए खुद को अनइंस्टॉल भी कर सकता है।

विंडोज़ पर डार्कनिम्बस

हालाँकि कम फीचर-समृद्ध, विंडोज संस्करण डेटा एक्सफ़िल्टरेशन के लिए एक शक्तिशाली उपकरण बना हुआ है। 2020 के अंत से सक्रिय, यह सिस्टम की जानकारी, कीस्ट्रोक्स, क्लिपबोर्ड डेटा, सहेजे गए क्रेडेंशियल और ब्राउज़र इतिहास को कैप्चर कर सकता है।

सोशल इंजीनियरिंग और शोषण श्रृंखला: एक हमले की संरचना

पृथ्वी मिनोटौर अपने शिकार को अपने जाल में फंसाने के लिए सोशल इंजीनियरिंग पर बहुत ज़्यादा निर्भर करता है। इंस्टेंट मैसेजिंग ऐप में एंबेड किए गए धमकी भरे लिंक शिकार को 55 से ज़्यादा MOONSHINE एक्सप्लॉइट सर्वर में से किसी एक पर रीडायरेक्ट करते हैं। ये सर्वर पीड़ित के डिवाइस और ब्राउज़र कॉन्फ़िगरेशन के आधार पर विभिन्न रणनीतियाँ अपनाते हैं:

• शोषण निष्पादन : यदि कमजोरियों की पहचान की जाती है, तो सर्वर डार्कनिम्बस बैकडोर स्थापित करता है।
• फ़िशिंग पुनर्निर्देशन : यदि शोषण विफल हो जाता है, तो पीड़ितों को फ़िशिंग पृष्ठों का सामना करना पड़ सकता है जो उन्हें अपने ब्राउज़र को अपडेट करने का आग्रह करते हैं, जिससे आगे चलकर समझौता हो सकता है।

कुछ मामलों में, हमले में WeChat जैसे अनुप्रयोगों में ब्राउज़र इंजन को डाउनग्रेड करना, तथा उसके स्थान पर ट्रोजनकृत संस्करण स्थापित करना शामिल होता है, जो लगातार पहुंच की सुविधा प्रदान करता है।

अर्थ मिनोटौर की वैश्विक पहुंच

समूह की गतिविधियाँ भौगोलिक रूप से सीमित नहीं हैं। अमेरिका, कनाडा, भारत, जर्मनी और ताइवान सहित 18 देशों में पीड़ितों की पहचान की गई है, जो इसके संचालन के वैश्विक दायरे को उजागर करता है।

जबकि मूनशाइन पॉइज़न कार्प और अर्थ एम्पुसा जैसे अन्य ख़तरनाक समूहों से जुड़ा हुआ है, अर्थ मिनोटौर स्वतंत्र रूप से काम करता है। तिब्बती और उइगर समुदायों पर समूह का ध्यान इवेसिव पांडा और स्कार्लेट मिमिक जैसे विरोधियों द्वारा इसी तरह के अभियानों के साथ मेल खाता है। हालाँकि, अर्थ मिनोटौर अपने अत्यधिक अनुकूलनीय उपकरणों और परिष्कृत संक्रमण श्रृंखलाओं के उपयोग के लिए अलग है।

मूनशाइन का निरंतर विकास

मूनशाइन अभी भी सक्रिय विकास के तहत एक टूलकिट है और इसे विभिन्न खतरे वाले अभिनेताओं के बीच साझा किया जाता है, जिसमें UNC5221 और अर्थ मिनोटौर शामिल हैं। इसका निरंतर परिशोधन कमजोर समुदायों को लक्षित करने वाले विरोधियों की दृढ़ता को रेखांकित करता है।

अंतिम विचार: खतरे को पहचानना और उसे कम करना

अर्थ मिनोटौर लक्षित साइबर हमलों की बढ़ती जटिलता का उदाहरण है। उपयोगकर्ताओं से आग्रह है कि वे अपडेटेड सॉफ़्टवेयर बनाए रखें, अनचाहे लिंक से सावधान रहें और फ़िशिंग प्रयासों के प्रति सतर्क रहें। जैसे-जैसे ख़तरा पैदा करने वाले लोग अपनी रणनीति में सुधार कर रहे हैं, सक्रिय साइबर सुरक्षा उपाय अर्थ मिनोटौर जैसे उभरते खतरों के खिलाफ़ रक्षा की पहली पंक्ति बने हुए हैं।