Preventivo sconto multi-licenza
Database delle minacce Porte sul retro Porta sul retro DarkNimbus

Porta sul retro DarkNimbus

Entro Mezo nel Porte sul retro, Minaccia persistente avanzata (APT), Malware per dispositivi mobili
Traduci in:
Italiano

Un gruppo di minacce precedentemente non identificato, ora denominato Earth Minotaur, è emerso come un attore significativo nella sorveglianza informatica. Utilizzando strumenti sofisticati come l'exploit kit MOONSHINE e una backdoor recentemente identificata chiamata DarkNimbus, Earth Minotaur ha dimostrato la sua capacità di prendere di mira sia i dispositivi Android che Windows in uno sforzo calcolato per infiltrarsi e monitorare le comunità tibetane e uigure.

Il kit di exploit MOONSHINE: un gateway per le minacce multipiattaforma

Al centro delle operazioni di Earth Minotaur c'è l'exploit kit MOONSHINE. Originariamente documentato nel 2019 durante attacchi informatici a obiettivi tibetani, MOONSHINE sfrutta le vulnerabilità nei browser e nelle applicazioni basati su Chromium per distribuire i suoi payload. Da allora si è evoluto, incorporando vulnerabilità aggiuntive come CVE-2020-6418, un difetto nel motore JavaScript V8 patchato da Google all'inizio del 2020.

L'exploit kit è notevolmente versatile. Prende di mira applicazioni come Google Chrome, WeChat, QQ e LINE ed è progettato per infiltrarsi nei dispositivi delle vittime tramite link corrotti. Questi link sono spesso camuffati da contenuti innocui, come annunci o contenuti multimediali relativi alle comunità tibetane e uigure, per massimizzare l'efficacia delle tattiche di ingegneria sociale.

DarkNimbus: una backdoor versatile e intrusiva

Una volta che MOONSHINE ottiene l'accesso a un dispositivo, distribuisce la backdoor DarkNimbus, uno strumento progettato specificamente per la sorveglianza a lungo termine.

DarkNimbus su Android

La variante Android di DarkNimbus è eccezionalmente intrusiva, sfruttando il protocollo XMPP per comunicare con i suoi operatori. È equipaggiata per esfiltrare dati sensibili, tra cui:

  • Metadati del dispositivo
  • Dati di geolocalizzazione
  • Cronologia delle chiamate
  • Contatti e messaggi
  • Segnalibri del browser e contenuto degli appunti

DarkNimbus sfrutta anche i servizi di accessibilità di Android per intercettare messaggi da applicazioni di comunicazione popolari come WhatsApp, WeChat e Skype. Inoltre, può eseguire comandi shell, registrare chiamate, catturare screenshot e persino disinstallarsi per eludere il rilevamento.

DarkNimbus su Windows

Sebbene meno ricca di funzionalità, la versione Windows rimane un potente strumento per l'esfiltrazione dei dati. Attiva da fine 2020, può catturare informazioni di sistema, sequenze di tasti, dati degli appunti, credenziali salvate e cronologia del browser.

Social Engineering e catene di exploit: l’anatomia di un attacco

Il Minotauro della Terra si affida pesantemente all'ingegneria sociale per attirare le vittime nella sua trappola. I link minacciosi incorporati nelle app di messaggistica istantanea reindirizzano le vittime a uno degli oltre 55 server exploit MOONSHINE. Questi server implementano varie strategie in base al dispositivo della vittima e alla configurazione del browser:

  • Esecuzione di exploit : se vengono identificate vulnerabilità, il server installa la backdoor DarkNimbus.
  • Reindirizzamento di phishing : se gli exploit falliscono, le vittime potrebbero imbattersi in pagine di phishing che le invitano ad aggiornare i loro browser, il che può portare a ulteriori compromissioni.

In alcuni casi, l'attacco comporta il declassamento del motore del browser all'interno di applicazioni come WeChat, sostituendolo con una versione trojanizzata che facilita l'accesso persistente.

La portata globale del Minotauro della Terra

Le attività del gruppo non sono limitate geograficamente. Le vittime sono state identificate in 18 paesi, tra cui Stati Uniti, Canada, India, Germania e Taiwan, evidenziando la portata globale delle sue operazioni.

Mentre MOONSHINE è stato associato ad altri gruppi di minaccia come POISON CARP ed Earth Empusa, Earth Minotaur opera in modo indipendente. L'attenzione del gruppo sulle comunità tibetane e uigure si allinea a campagne simili di avversari come Evasive Panda e Scarlet Mimic. Tuttavia, Earth Minotaur si distingue per l'uso di strumenti altamente adattabili e sofisticate catene di infezione.

L’evoluzione continua di MOONSHINE

MOONSHINE rimane un toolkit in fase di sviluppo attivo e viene condiviso tra vari attori della minaccia, tra cui UNC5221 ed Earth Minotaur. Il suo continuo perfezionamento sottolinea la persistenza degli avversari che prendono di mira le comunità vulnerabili.

Considerazioni finali: riconoscere e mitigare la minaccia

Earth Minotaur esemplifica la crescente complessità degli attacchi informatici mirati. Gli utenti sono invitati a mantenere il software aggiornato, a prestare attenzione ai link indesiderati e a rimanere vigili contro i tentativi di phishing. Mentre gli autori delle minacce affinano le loro tattiche, le misure di sicurezza informatica proattive rimangono la prima linea di difesa contro minacce in evoluzione come Earth Minotaur.

Tendenza

I più visti

Caricamento in corso...