DarkNimbus Backdoor

ក្រុមគំរាមកំហែងដែលមិនស្គាល់អត្តសញ្ញាណពីមុន ដែលឥឡូវត្រូវបានចាត់តាំង Earth Minotaur បានលេចចេញជាតួអង្គសំខាន់ក្នុងការឃ្លាំមើលតាមអ៊ីនធឺណិត។ ដោយប្រើឧបករណ៍ស្មុគ្រស្មាញដូចជា MOONSHINE exploit kit និង backdoor ដែលទើបកំណត់អត្តសញ្ញាណថ្មីហៅថា DarkNimbus, Earth Minotaur បានបង្ហាញសមត្ថភាពរបស់ខ្លួនក្នុងការកំណត់គោលដៅទាំងឧបករណ៍ Android និង Windows ក្នុងកិច្ចខិតខំប្រឹងប្រែងគណនាដើម្បីជ្រៀតចូល និងតាមដានសហគមន៍ទីបេ និងអ៊ុយហ្គួ។

កញ្ចប់កេងប្រវ័ញ្ច MOONSHINE៖ ច្រកផ្លូវសម្រាប់ការគំរាមកំហែងឆ្លងវេទិកា

ប្រតិបត្តិការរបស់ Central to Earth Minotaur គឺជាឧបករណ៍កេងប្រវ័ញ្ច MOONSHINE ។ ឯកសារដើមដំបូងត្រូវបានចងក្រងក្នុងឆ្នាំ 2019 ក្នុងអំឡុងពេលការវាយប្រហារតាមអ៊ីនធឺណិតលើគោលដៅទីបេ MOONSHINE ទាញយកភាពងាយរងគ្រោះនៅក្នុងកម្មវិធីរុករកតាមអ៊ីនធឺណិត និងកម្មវិធីដែលមានមូលដ្ឋានលើ Chromium ដើម្បីចែកចាយបន្ទុករបស់វា។ វាបានវិវត្តន៍ចាប់តាំងពីពេលនោះមក ដោយរួមបញ្ចូលនូវភាពងាយរងគ្រោះបន្ថែមដូចជា CVE-2020-6418 ដែលជាកំហុសនៅក្នុងម៉ាស៊ីន V8 JavaScript ដែលបានជួសជុលដោយ Google នៅដើមឆ្នាំ 2020។

ឧបករណ៍កេងប្រវ័ញ្ចគឺមានភាពចម្រុះគួរឱ្យកត់សម្គាល់។ វាកំណត់គោលដៅកម្មវិធីដូចជា Google Chrome, WeChat, QQ និង LINE ហើយត្រូវបានរចនាឡើងដើម្បីជ្រៀតចូលឧបករណ៍របស់ជនរងគ្រោះតាមរយៈតំណភ្ជាប់ដែលខូច។ តំណភ្ជាប់ទាំងនេះជារឿយៗត្រូវបានក្លែងបន្លំជាខ្លឹមសារធម្មតា ដូចជាសេចក្តីប្រកាស ឬពហុព័ត៌មានទាក់ទងនឹងសហគមន៍ទីបេ និងអ៊ុយហ្គួ ដើម្បីបង្កើនប្រសិទ្ធភាពនៃយុទ្ធសាស្ត្រវិស្វកម្មសង្គម។

DarkNimbus៖ ជា Backdoor ដែលអាចប្រើប្រាស់បាន និងរំខាន

នៅពេលដែល MOONSHINE ទទួលបានសិទ្ធិចូលប្រើឧបករណ៍មួយ វាផ្តល់នូវ DarkNimbus backdoor ដែលជាឧបករណ៍ដែលត្រូវបានបង្កើតឡើងជាពិសេសសម្រាប់ការឃ្លាំមើលរយៈពេលវែង។

DarkNimbus នៅលើប្រព័ន្ធប្រតិបត្តិការ Android

វ៉ារ្យ៉ង់ Android របស់ DarkNimbus គឺមានការរំខានជាពិសេស ដោយប្រើប្រាស់ពិធីការ XMPP ដើម្បីទំនាក់ទំនងជាមួយប្រតិបត្តិកររបស់វា។ វាត្រូវបានបំពាក់ដើម្បីទាញយកទិន្នន័យរសើប រួមទាំង៖

• ទិន្នន័យមេតាឧបករណ៍
• ទិន្នន័យទីតាំងភូមិសាស្ត្រ
• ប្រវត្តិហៅទូរសព្ទ
• ទំនាក់ទំនង និងសារ
• ចំណាំកម្មវិធីរុករក និងមាតិកាក្ដារតម្បៀតខ្ទាស់

DarkNimbus ក៏ទាញយកសេវាកម្មភាពងាយស្រួលរបស់ Android ដើម្បីស្ទាក់ចាប់សារពីកម្មវិធីទំនាក់ទំនងដ៏ពេញនិយមដូចជា WhatsApp, WeChat និង Skype ជាដើម។ លើសពីនេះ វាអាចប្រតិបត្តិពាក្យបញ្ជាសែល កត់ត្រាការហៅទូរសព្ទ ចាប់យករូបថតអេក្រង់ និងសូម្បីតែលុបខ្លួនវាដើម្បីគេចពីការរកឃើញ។

DarkNimbus នៅលើ Windows

ទោះបីជាមិនសូវសម្បូរមុខងារក៏ដោយ កំណែ Windows នៅតែជាឧបករណ៍ដ៏មានសក្តានុពលសម្រាប់ការស្រង់ទិន្នន័យ។ សកម្មតាំងពីចុងឆ្នាំ 2020 វាអាចចាប់យកព័ត៌មានប្រព័ន្ធ ការចុចគ្រាប់ចុច ទិន្នន័យក្ដារតម្បៀតខ្ទាស់ លិខិតសម្គាល់ដែលបានរក្សាទុក និងប្រវត្តិកម្មវិធីរុករក។

វិស្វកម្មសង្គម និងខ្សែសង្វាក់កេងប្រវ័ញ្ច៖ កាយវិភាគសាស្ត្រនៃការវាយប្រហារ

Earth Minotaur ពឹងផ្អែកយ៉ាងខ្លាំងលើវិស្វកម្មសង្គមដើម្បីទាក់ទាញជនរងគ្រោះឱ្យចូលទៅក្នុងអន្ទាក់របស់វា។ តំណភ្ជាប់គំរាមកំហែងដែលបានបង្កប់នៅក្នុងកម្មវិធីផ្ញើសារភ្លាមៗបញ្ជូនជនរងគ្រោះទៅកាន់ម៉ាស៊ីនមេមួយក្នុងចំណោមម៉ាស៊ីនមេកេងប្រវ័ញ្ចជាង 55 MOONSHINE។ ម៉ាស៊ីនមេទាំងនេះដាក់ពង្រាយយុទ្ធសាស្រ្តផ្សេងៗដោយផ្អែកលើឧបករណ៍ និងការកំណត់រចនាសម្ព័ន្ធកម្មវិធីរុករកតាមអ៊ីនធឺណិតរបស់ជនរងគ្រោះ៖

• Exploit Execution ៖ ប្រសិនបើភាពងាយរងគ្រោះត្រូវបានសម្គាល់ នោះម៉ាស៊ីនមេនឹងដំឡើង DarkNimbus backdoor ។
• ការបញ្ជូនបន្តការបន្លំ ៖ ប្រសិនបើការកេងប្រវ័ញ្ចបរាជ័យ ជនរងគ្រោះអាចជួបប្រទះនឹងទំព័របន្លំដែលជំរុញឱ្យពួកគេធ្វើបច្ចុប្បន្នភាពកម្មវិធីរុករកតាមអ៊ីនធឺណិតរបស់ពួកគេ ដែលអាចនាំឱ្យមានការសម្របសម្រួលបន្ថែមទៀត។

ក្នុងករណីខ្លះ ការវាយប្រហារពាក់ព័ន្ធនឹងការទម្លាក់ចំណាត់ថ្នាក់កម្មវិធីរុករកតាមអ៊ីនធឺណិតនៅក្នុងកម្មវិធីដូចជា WeChat ដោយជំនួសវាដោយកំណែ Trojanized ដែលជួយសម្រួលដល់ការចូលប្រើប្រាស់ជាបន្តបន្ទាប់។

ការឈានដល់សកលរបស់ Earth Minotaur

សកម្មភាពរបស់ក្រុមមិនត្រូវបានកំណត់តាមភូមិសាស្ត្រទេ។ ជនរងគ្រោះត្រូវបានគេកំណត់អត្តសញ្ញាណនៅទូទាំង 18 ប្រទេស រួមទាំងសហរដ្ឋអាមេរិក កាណាដា ឥណ្ឌា អាល្លឺម៉ង់ និងតៃវ៉ាន់ ដោយបង្ហាញពីវិសាលភាពជាសកលនៃប្រតិបត្តិការរបស់ខ្លួន។

ខណៈពេលដែល MOONSHINE ត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងក្រុមគំរាមកំហែងផ្សេងទៀតដូចជា POISON CARP និង Earth Empusa នោះ Earth Minotaur ដំណើរការដោយឯករាជ្យ។ ការផ្តោតអារម្មណ៍របស់ក្រុមទៅលើសហគមន៍ទីបេ និងអ៊ុយហ្គួ ស្របជាមួយនឹងយុទ្ធនាការស្រដៀងគ្នាដោយសត្រូវដូចជា Evasive Panda និង Scarlet Mimic ។ ទោះជាយ៉ាងណាក៏ដោយ Earth Minotaur លេចធ្លោសម្រាប់ការប្រើប្រាស់ឧបករណ៍ដែលអាចសម្របខ្លួនបានខ្ពស់ និងខ្សែសង្វាក់ឆ្លងដ៏ទំនើប។

ការវិវត្តន៍បន្តនៃ MOONSHINE

MOONSHINE នៅតែជាកញ្ចប់ឧបករណ៍ក្រោមការអភិវឌ្ឍន៍យ៉ាងសកម្ម ហើយត្រូវបានចែករំលែកក្នុងចំណោមតួអង្គគំរាមកំហែងផ្សេងៗ រួមទាំង UNC5221 និង Earth Minotaur ។ ការបន្តកែលម្អរបស់វាបញ្ជាក់ពីការតស៊ូរបស់សត្រូវដែលកំណត់គោលដៅសហគមន៍ដែលងាយរងគ្រោះ។

គំនិតចុងក្រោយ៖ ការទទួលស្គាល់ និងកាត់បន្ថយការគំរាមកំហែង

Earth Minotaur បង្ហាញពីភាពស្មុគស្មាញនៃការវាយប្រហារតាមអ៊ីនធឺណិតដែលមានគោលដៅកើនឡើង។ អ្នក​ប្រើ​ត្រូវ​បាន​ជំរុញ​ឱ្យ​រក្សា​កម្មវិធី​ដែល​បាន​ធ្វើ​បច្ចុប្បន្នភាព អនុវត្ត​ការ​ប្រុង​ប្រយ័ត្ន​ជាមួយ​នឹង​តំណ​ដែល​មិន​បាន​ស្នើសុំ ហើយ​នៅ​តែ​មាន​ការ​ប្រុង​ប្រយ័ត្ន​ប្រឆាំង​នឹង​ការ​ប៉ុនប៉ង​បន្លំ។ ក្នុងនាមជាតួអង្គគម្រាមកំហែងកែលម្អយុទ្ធសាស្ត្ររបស់ពួកគេ វិធានការសន្តិសុខតាមអ៊ីនធឺណិតសកម្មនៅតែជាខ្សែការពារទីមួយប្រឆាំងនឹងការគំរាមកំហែងដែលកំពុងវិវត្តដូចជា Earth Minotaur ។