Vairāku licenču atlaides piedāvājums
Draudu datu bāze Aizmugures durvis DarkNimbus Backdoor

DarkNimbus Backdoor

Līdz Mezo. gadam Aizmugures durvis, Advanced Persistent Threat (APT), Ļaunprātīga programmatūra mobilajām ierīcēm. gadā
Tulkot uz:
Latviešu

Iepriekš neidentificēta draudu grupa, kas tagad tiek saukta par Zemes Mīnotauru, ir kļuvusi par nozīmīgu kibernovērošanas dalībnieku. Izmantojot izsmalcinātus rīkus, piemēram, MOONSHINE izmantošanas komplektu un tikko identificētas aizmugures durvis ar nosaukumu DarkNimbus, Earth Minotaur ir pierādījis savu spēju mērķēt gan uz Android, gan Windows ierīcēm, cenšoties iefiltrēties un uzraudzīt tibetiešu un uiguru kopienās.

MOONSHINE Exploit Kit: vārteja starpplatformu apdraudējumiem

Zemes Minotaura darbību centrālais elements ir MOONSHINE izmantošanas komplekts. Sākotnēji dokumentēts 2019. gadā kiberuzbrukumu laikā pret Tibetas mērķiem, MOONSHINE izmanto Chromium balstītu pārlūkprogrammu un lietojumprogrammu ievainojamības, lai piegādātu savu derīgo slodzi. Kopš tā laika tas ir attīstījies, iekļaujot papildu ievainojamības, piemēram, CVE-2020-6418, kas ir V8 JavaScript dzinēja trūkums, ko Google izlaboja 2020. gada sākumā.

Ekspluatācijas komplekts ir īpaši daudzpusīgs. Tā ir paredzēta lietojumprogrammām, piemēram, Google Chrome, WeChat, QQ un LINE, un ir paredzēta, lai iefiltrētos upuru ierīcēs, izmantojot bojātas saites. Šīs saites bieži tiek maskētas kā labdabīgs saturs, piemēram, paziņojumi vai multivide, kas saistīti ar tibetiešu un uiguru kopienām, lai palielinātu sociālās inženierijas taktikas efektivitāti.

DarkNimbus: daudzpusīga un uzmācīga aizmugures durvis

Kad MOONSHINE iegūst piekļuvi ierīcei, tas nodrošina DarkNimbus aizmugures durvis — rīku, kas īpaši izstrādāts ilgstošai uzraudzībai.

DarkNimbus operētājsistēmā Android

DarkNimbus Android variants ir īpaši uzmācīgs, izmantojot XMPP protokolu, lai sazinātos ar tā operatoriem. Tas ir aprīkots, lai izfiltrētu sensitīvus datus, tostarp:

  • Ierīces metadati
  • Ģeolokācijas dati
  • Zvanu vēsture
  • Kontakti un ziņas
  • Pārlūka grāmatzīmes un starpliktuves saturs

DarkNimbus izmanto arī Android pieejamības pakalpojumus, lai pārtvertu ziņojumus no tādām populārām saziņas lietojumprogrammām kā WhatsApp, WeChat un Skype. Turklāt tas var izpildīt čaulas komandas, ierakstīt zvanus, tvert ekrānuzņēmumus un pat atinstalēt sevi, lai izvairītos no atklāšanas.

DarkNimbus operētājsistēmā Windows

Lai gan Windows versija ir mazāk bagāta, tā joprojām ir spēcīgs datu izfiltrēšanas rīks. Tas ir aktīvs kopš 2020. gada beigām, un tas var tvert sistēmas informāciju, taustiņsitienus, starpliktuves datus, saglabātos akreditācijas datus un pārlūkprogrammas vēsturi.

Sociālās inženierijas un izmantošanas ķēdes: uzbrukuma anatomija

Zemes Mīnotaurs lielā mērā paļaujas uz sociālo inženieriju, lai ievilinātu upurus savās lamatās. Tūlītējās ziņojumapmaiņas lietotnēs iegultās draudošās saites novirza upurus uz kādu no vairāk nekā 55 MOONSHINE ļaunprātīgas izmantošanas serveriem. Šie serveri izvieto dažādas stratēģijas, pamatojoties uz upura ierīces un pārlūkprogrammas konfigurāciju:

  • Exploit Execution : Ja tiek konstatētas ievainojamības, serveris instalē DarkNimbus aizmugures durvis.
  • Pikšķerēšanas novirzīšana : ja ekspluatācija neizdodas, upuri var saskarties ar pikšķerēšanas lapām, kas mudina viņus atjaunināt pārlūkprogrammas, kas var novest pie turpmākiem kompromisiem.

Dažos gadījumos uzbrukums ietver pārlūkprogrammas dzinēja pazemināšanu tādās lietojumprogrammās kā WeChat, aizstājot to ar trojānisku versiju, kas atvieglo pastāvīgu piekļuvi.

Zemes Mīnotaura globālā sasniedzamība

Grupas darbība nav ģeogrāfiski ierobežota. Upuri ir identificēti 18 valstīs, tostarp ASV, Kanādā, Indijā, Vācijā un Taivānā, uzsverot tās darbību globālo mērogu.

Lai gan MOONSHINE ir saistīts ar citām apdraudējuma grupām, piemēram, POISON CARP un Earth Empusa, Earth Minotaur darbojas neatkarīgi. Grupas fokuss uz tibetiešu un uiguru kopienām saskan ar līdzīgām pretinieku, piemēram, Evasive Panda un Scarlet Mimic, kampaņām. Tomēr Earth Minotaur izceļas ar ļoti pielāgojamu rīku un izsmalcinātu infekcijas ķēžu izmantošanu.

Pastāvīgā MOONSHINE evolūcija

MOONSHINE joprojām ir rīku komplekts, kas tiek aktīvi izstrādāts, un tas tiek koplietots starp dažādiem apdraudējuma dalībniekiem, tostarp UNC5221 un Earth Minotaur. Tā nepārtrauktā pilnveidošana uzsver pretinieku noturību, kas vērsta pret neaizsargātām kopienām.

Pēdējās domas: draudu atpazīšana un mazināšana

Zemes Minotaurs parāda pieaugošo mērķtiecīgu kiberuzbrukumu sarežģītību. Lietotāji tiek aicināti uzturēt atjauninātu programmatūru, būt piesardzīgiem ar nevēlamām saitēm un saglabāt modrību pret pikšķerēšanas mēģinājumiem. Apdraudējuma dalībniekiem pilnveidojot savu taktiku, proaktīvi kiberdrošības pasākumi joprojām ir pirmā aizsardzības līnija pret tādiem draudiem kā Zemes Mīnotaurs.

Tendences

Visvairāk skatīts

Uznirstošie logi “Ja jums ir 18 gadi, pieskarieties...

Viltus brīdinājuma ziņojumi
26,636
Uznirstošie logi “Ja jums ir 18 gadus, pieskarieties Atļaut” ir uznirstošo reklāmu veids, kas tiek rādīts lietotāja ekrānā, pārlūkojot internetu. Šie uznirstošie logi var būt diezgan satraucoši lietotājiem, jo viņi mudina viņus noklikšķināt uz pogas "atļaut", lai turpinātu izmantot vietni, kurā viņi pašlaik atrodas. Šie uznirstošie logi ir saistīti ar tādām nevēlamām programmām kā...
Notiek ielāde...