Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Užpakalinės durys DarkNimbus Backdoor

DarkNimbus Backdoor

Autorius Mezo, Užpakalinės durys, Išplėstinė nuolatinė grėsmė (APT), Kenkėjiška programa mobiliesiems
Versti į:
Lietuvių

Anksčiau nenustatyta grėsmių grupė, dabar vadinama Žemės Minotauru, pasirodė kaip svarbi kibernetinio stebėjimo veikėja. Naudodamas sudėtingus įrankius, pvz., MOONSHINE išnaudojimo rinkinį ir naujai identifikuotas užpakalines duris, pavadintas „DarkNimbus“, „Earth Minotaur“ pademonstravo savo gebėjimą nukreipti tiek „Android“, tiek „Windows“ įrenginius, stengdamasis įsiskverbti į tibetiečių ir uigūrų bendruomenes ir stebėti jas.

„MOONSHINE Exploit“ rinkinys: kelių platformų grėsmių vartai

Svarbiausia Žemės Minotauro operacijų dalis yra MOONSHINE išnaudojimo rinkinys. Iš pradžių dokumentuota 2019 m. per kibernetines atakas prieš Tibeto taikinius, MOONSHINE naudoja „Chromium“ pagrįstų naršyklių ir programų pažeidžiamumą, kad pristatytų savo naudingąsias apkrovas. Nuo to laiko jis buvo tobulinamas, įtraukdamas papildomų pažeidžiamumų, tokių kaip CVE-2020-6418 – V8 JavaScript variklio, kurį „Google“ pataisė 2020 m. pradžioje, trūkumas.

Išnaudojimo rinkinys yra ypač universalus. Jis skirtas tokioms programoms kaip „Google Chrome“, „WeChat“, QQ ir LINE, ir yra skirtas įsiskverbti į aukų įrenginius per sugadintas nuorodas. Šios nuorodos dažnai užmaskuojamos kaip nepiktybinis turinys, pvz., su Tibeto ir Uigūrų bendruomenėmis susiję pranešimai ar daugialypės terpės medžiaga, siekiant maksimaliai padidinti socialinės inžinerijos taktikos veiksmingumą.

„DarkNimbus“: universalios ir įkyrios užpakalinės durys

Kai MOONSHINE gauna prieigą prie įrenginio, jis pristato „DarkNimbus“ užpakalines duris – įrankį, specialiai sukurtą ilgalaikiam stebėjimui.

„DarkNimbus“ sistemoje „Android“.

„DarkNimbus“ „Android“ variantas yra išskirtinai įkyrus ir naudoja XMPP protokolą bendrauti su operatoriais. Jis pritaikytas slaptiems duomenims, įskaitant:

  • Įrenginio metaduomenys
  • Geolokacijos duomenys
  • Skambučių istorija
  • Kontaktai ir žinutės
  • Naršyklės žymės ir iškarpinės turinys

„DarkNimbus“ taip pat naudoja „Android“ pritaikymo neįgaliesiems paslaugas, kad perimtų pranešimus iš populiarių komunikacijos programų, tokių kaip „WhatsApp“, „WeChat“ ir „Skype“. Be to, jis gali vykdyti apvalkalo komandas, įrašyti skambučius, fiksuoti ekrano kopijas ir netgi pašalinti save, kad išvengtų aptikimo.

„DarkNimbus“ sistemoje „Windows“.

Nors „Windows“ versija turi mažiau funkcijų, ji išlieka galingu duomenų išfiltravimo įrankiu. Veikia nuo 2020 m. pabaigos, ji gali užfiksuoti sistemos informaciją, klavišų paspaudimus, iškarpinės duomenis, išsaugotus kredencialus ir naršyklės istoriją.

Socialinė inžinerija ir išnaudojimo grandinės: puolimo anatomija

Žemės Minotauras labai pasikliauja socialine inžinerija, kad įviliotų aukas į savo spąstus. Momentinių pranešimų programose įterptos grėsmingos nuorodos nukreipia aukas į vieną iš daugiau nei 55 MOONSHINE išnaudojimo serverių. Šie serveriai diegia įvairias strategijas, pagrįstas aukos įrenginio ir naršyklės konfigūracija:

  • Išnaudojimo vykdymas : jei nustatomi pažeidžiamumai, serveris įdiegia „DarkNimbus“ galines duris.
  • Sukčiavimo nukreipimas : jei išnaudojimai nepavyksta, aukos gali susidurti su sukčiavimo puslapiais, raginančiais atnaujinti savo naršykles, o tai gali lemti tolesnius kompromisus.

Kai kuriais atvejais ataka apima naršyklės variklio pažeminimą tokiose programose kaip WeChat, pakeičiant ją Trojanizuota versija, kuri palengvina nuolatinę prieigą.

Žemės Minotauro pasaulinis pasiekiamumas

Grupės veikla nėra geografiškai ribojama. Aukos buvo nustatytos 18 šalių, įskaitant JAV, Kanadą, Indiją, Vokietiją ir Taivaną, o tai pabrėžia pasaulinę jos operacijų mastą.

Nors MOONSHINE buvo siejamas su kitomis grėsmių grupėmis, tokiomis kaip POISON CARP ir Earth Empusa, Earth Minotaur veikia nepriklausomai. Grupės dėmesys tibetiečių ir uigūrų bendruomenėms dera su panašiomis kampanijomis, kurias vykdo tokie priešai kaip Evasive Panda ir Scarlet Mimic. Tačiau „Earth Minotaur“ išsiskiria tuo, kad naudoja labai pritaikomus įrankius ir sudėtingas infekcijos grandines.

Nuolatinė MOONSHINE evoliucija

MOONSHINE tebėra aktyviai kuriamas įrankių rinkinys, kuriuo dalijasi įvairūs grėsmės subjektai, įskaitant UNC5221 ir Earth Minotaur. Nuolatinis jos tobulinimas pabrėžia priešininkų, nukreiptų į pažeidžiamas bendruomenes, atkaklumą.

Paskutinės mintys: grėsmės atpažinimas ir sumažinimas

Žemės Minotauras rodo didėjantį tikslinių kibernetinių atakų sudėtingumą. Vartotojai raginami nuolat atnaujinti programinę įrangą, būti atsargiems su nepageidaujamomis nuorodomis ir išlikti budriems nuo sukčiavimo bandymų. Kai grėsmių subjektai tobulina savo taktiką, iniciatyvios kibernetinio saugumo priemonės išlieka pirmąja gynybos linija nuo besivystančių grėsmių, tokių kaip Žemės Minotauras.

Tendencijos

Labiausiai žiūrima

Iššokantieji langai „Jei jums 18 metų, bakstelėkite...

Netikri įspėjamieji pranešimai
26,636
Iššokantieji langai „Jei esate 18 metų, bakstelėkite leisti“ yra iššokančiųjų langų tipas, kuris rodomas vartotojo ekrane naršant internete. Šie iššokantieji langai gali kelti nerimą vartotojams, nes jie ragina spustelėti mygtuką „leisti“, kad toliau naudotųsi svetaine, kurioje jie šiuo metu yra. Šie iššokantys langai yra susiję su tokiomis nepageidaujamomis programomis kaip reklaminė...
Įkeliama...