Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Hátsó ajtók DarkNimbus hátsó ajtó

DarkNimbus hátsó ajtó

Mezo -ra Hátsó ajtók, Advanced Persistent Threat (APT), Mobil rosszindulatú program-ben
Fordítás ide:
Magyar

Egy korábban azonosítatlan fenyegető csoport, most a Föld Minotaurusz néven a kiberfigyelés jelentős szereplőjeként bukkant fel. A kifinomult eszközök, például a MOONSHINE exploit kit és az újonnan azonosított, DarkNimbus nevű hátsó ajtó segítségével az Earth Minotaur bebizonyította, hogy képes Android és Windows eszközöket is megcélozni, kiszámított erőfeszítéssel a tibeti és ujgur közösségek beszivárgására és megfigyelésére.

A MOONSHINE Exploit Kit: átjáró a platformok közötti fenyegetések számára

A Föld Minotaurusz működésének központi eleme a MOONSHINE exploit kit. Eredetileg 2019-ben, a tibeti célpontok elleni kibertámadások során dokumentálták, a MOONSHINE a Chromium-alapú böngészők és alkalmazások sebezhetőségeit használja ki a hasznos terhek szállítására. Azóta fejlődött, és további sebezhetőségeket tartalmazott, mint például a CVE-2020-6418, amely a V8 JavaScript motor hibája, amelyet a Google 2020 elején javított ki.

Az exploit kit különösen sokoldalú. Olyan alkalmazásokat céloz meg, mint a Google Chrome, WeChat, QQ és LINE, és úgy tervezték, hogy sérült hivatkozásokon keresztül behatoljon az áldozatok eszközeire. Ezeket a linkeket gyakran jóindulatú tartalomnak álcázzák, például a tibeti és ujgur közösségekkel kapcsolatos bejelentéseket vagy multimédiát, hogy maximalizálják a szociális tervezési taktikák hatékonyságát.

DarkNimbus: Sokoldalú és tolakodó hátsó ajtó

Amint a MOONSHINE hozzáfér egy eszközhöz, szállítja a DarkNimbus hátsó ajtót, egy kifejezetten hosszú távú megfigyelésre tervezett eszközt.

DarkNimbus Androidon

A DarkNimbus Android-változata kivételesen tolakodó, az XMPP protokollt kihasználva kommunikál az operátorokkal. Fel van szerelve érzékeny adatok kiszűrésére, beleértve:

  • Eszköz metaadatai
  • Földrajzi adatok
  • Hívástörténet
  • Kapcsolatok és üzenetek
  • Böngésző könyvjelzői és vágólap tartalma

A DarkNimbus az Android akadálymentesítési szolgáltatásait is kihasználja a népszerű kommunikációs alkalmazások, például a WhatsApp, a WeChat és a Skype üzeneteinek lehallgatására. Ezenkívül shell-parancsokat hajthat végre, hívásokat rögzíthet, képernyőképeket készíthet, és még önmagát is eltávolíthatja az észlelés elkerülése érdekében.

DarkNimbus Windows rendszeren

Bár kevésbé funkciókban gazdag, a Windows verzió továbbra is hatékony eszköz az adatok kiszűrésére. 2020 vége óta aktív, rendszerinformációkat, billentyűleütéseket, vágólapadatokat, mentett hitelesítő adatokat és böngészési előzményeket rögzíthet.

Social Engineering és Exploit Chains: A támadás anatómiája

A Föld Minotaurusz nagymértékben támaszkodik a szociális tervezésre, hogy csapdájába csalja az áldozatokat. Az azonnali üzenetküldő alkalmazásokba beágyazott fenyegető hivatkozások átirányítják az áldozatokat a több mint 55 MOONSHINE kizsákmányoló szerver egyikére. Ezek a szerverek különféle stratégiákat alkalmaznak az áldozat eszközétől és böngészőjének konfigurációjától függően:

  • Exploit Execution : Ha sebezhetőséget észlel, a szerver telepíti a DarkNimbus hátsó ajtót.
  • Adathalászat átirányítása : Ha a kihasználások meghiúsulnak, az áldozatok adathalász oldalakkal találkozhatnak, amelyek arra kérik őket, hogy frissítsék böngészőjüket, ami további kompromisszumokhoz vezethet.

Egyes esetekben a támadás magában foglalja a böngészőmotor leminősítését az olyan alkalmazásokban, mint a WeChat, és egy trójai változatra cseréli, amely megkönnyíti a folyamatos hozzáférést.

A Föld Minotaurusz globális hatóköre

A csoport tevékenysége földrajzilag nem korlátozott. Áldozatokat azonosítottak 18 országban, köztük az Egyesült Államokban, Kanadában, Indiában, Németországban és Tajvanon, ami kiemeli tevékenységének globális kiterjedését.

Míg a MOONSHINE-t más fenyegetési csoportokkal, például a POISON CARP-pal és az Earth Empusával hozták kapcsolatba, a Minotauros Föld függetlenül működik. A csoport figyelme a tibeti és ujgur közösségekre igazodik az olyan ellenfelek hasonló kampányaihoz, mint az Evasive Panda és a Scarlet Mimic. A Minotaurusz Föld azonban kitűnik a rendkívül alkalmazkodó eszközök és a kifinomult fertőzési láncok használatával.

A MOONSHINE folyamatos fejlődése

A MOONSHINE továbbra is egy aktív fejlesztés alatt álló eszköztár, és számos fenyegetés szereplője, köztük az UNC5221 és az Earth Minotaur megosztják vele. Folyamatos finomítása rávilágít a sebezhető közösségeket célzó ellenfelek kitartására.

Utolsó gondolatok: A fenyegetés felismerése és mérséklése

A Föld Minotaurusz a célzott kibertámadások egyre összetettebbé váló példája. A felhasználókat arra kérik, hogy tartsák fenn a szoftverek frissítését, járjanak el óvatosan a kéretlen hivatkozásokkal, és maradjanak éberek az adathalász kísérletekkel szemben. Ahogy a fenyegetés szereplői finomítják taktikájukat, továbbra is a proaktív kiberbiztonsági intézkedések jelentik az első védelmi vonalat az olyan fejlődő fenyegetésekkel szemben, mint a Föld Minotaurusz.

Felkapott

Legnézettebb

„Ha Ön 18 éves, koppintson az Engedélyezés gombra”...

Hamis figyelmeztető üzenetek
26,636
A „Ha 18 éves vagy, koppintson az Engedélyezésre” felugró ablakok olyan felugró hirdetések, amelyek a felhasználó képernyőjén jelennek meg, amikor az interneten böngészik. Ezek az előugró ablakok meglehetősen riasztóak lehetnek a felhasználók számára, mivel arra ösztönzik őket, hogy kattintson az "engedélyezés" gombra, hogy továbbra is használja a jelenleg használt webhelyet. Ezek az előugró...
Betöltés...