Rabatttilbud for flere lisenser
Trusseldatabase Bakdører DarkNimbus bakdør

DarkNimbus bakdør

Med Mezo i Bakdører, Advanced Persistent Threat (APT), Mobil skadelig programvare
Oversett til:
Norsk

En tidligere uidentifisert trusselgruppe, nå kalt Earth Minotaur, har dukket opp som en betydelig aktør innen cyberovervåking. Ved å bruke sofistikerte verktøy som MOONSHINE-utnyttingssettet og en nylig identifisert bakdør kalt DarkNimbus, har Earth Minotaur demonstrert sin evne til å målrette mot både Android- og Windows-enheter i en kalkulert innsats for å infiltrere og overvåke de tibetanske og uiguriske samfunnene.

MOONSHINE Exploit Kit: A Gateway for Cross-Platform Threats

Sentralt i Earth Minotaurs operasjoner er MOONSHINE-utnyttingssettet. Opprinnelig dokumentert i 2019 under nettangrep på tibetanske mål, utnytter MOONSHINE sårbarheter i Chromium-baserte nettlesere og applikasjoner for å levere nyttelastene sine. Den har siden utviklet seg, med ytterligere sårbarheter som CVE-2020-6418, en feil i V8 JavaScript-motoren som ble lappet av Google tidlig i 2020.

Utnyttingssettet er spesielt allsidig. Den retter seg mot applikasjoner som Google Chrome, WeChat, QQ og LINE og er designet for å infiltrere ofrenes enheter gjennom ødelagte lenker. Disse koblingene er ofte forkledd som godartet innhold, for eksempel kunngjøringer eller multimedia relatert til de tibetanske og uiguriske samfunnene, for å maksimere effektiviteten til taktikk for sosial ingeniørkunst.

DarkNimbus: En allsidig og påtrengende bakdør

Når MOONSHINE får tilgang til en enhet, leverer den DarkNimbus-bakdøren, et verktøy spesielt utviklet for langsiktig overvåking.

DarkNimbus på Android

Android-varianten av DarkNimbus er usedvanlig påtrengende, og utnytter XMPP-protokollen for å kommunisere med operatørene. Den er utstyrt for å eksfiltrere sensitive data, inkludert:

  • Enhetsmetadata
  • Geolokaliseringsdata
  • Anropslogg
  • Kontakter og meldinger
  • Nettleserbokmerker og utklippstavleinnhold

DarkNimbus utnytter også Androids tilgjengelighetstjenester for å fange opp meldinger fra populære kommunikasjonsapplikasjoner som WhatsApp, WeChat og Skype. I tillegg kan den utføre skallkommandoer, ta opp samtaler, ta skjermbilder og til og med avinstallere seg selv for å unngå oppdagelse.

DarkNimbus på Windows

Selv om den er mindre funksjonsrik, er Windows-versjonen fortsatt et potent verktøy for dataeksfiltrering. Aktiv siden slutten av 2020, den kan fange opp systeminformasjon, tastetrykk, utklippstavledata, lagret påloggingsinformasjon og nettleserhistorikk.

Social Engineering and Exploit Chains: Anatomy of an Attack

Jord-minotauren er avhengig av sosial ingeniørkunst for å lokke ofrene i fellen. Truende lenker innebygd i direktemeldingsapper omdirigerer ofre til en av over 55 MOONSHINE-utnyttelsesservere. Disse serverne implementerer ulike strategier basert på offerets enhet og nettleserkonfigurasjon:

  • Utnyttelsesutførelse : Hvis sårbarheter blir identifisert, installerer serveren DarkNimbus-bakdøren.
  • Phishing-omdirigering : Hvis utnyttelser mislykkes, kan ofre støte på phishing-sider som oppfordrer dem til å oppdatere nettleserne sine, noe som kan føre til ytterligere kompromisser.

I noen tilfeller innebærer angrepet å nedgradere nettlesermotoren i applikasjoner som WeChat, og erstatte den med en trojanisert versjon som letter vedvarende tilgang.

Earth Minotaurs globale rekkevidde

Konsernets virksomhet er ikke geografisk begrenset. Ofre er identifisert i 18 land, inkludert USA, Canada, India, Tyskland og Taiwan, noe som fremhever det globale omfanget av virksomheten.

Mens MOONSHINE har blitt assosiert med andre trusselgrupper som POISON CARP og Earth Empusa, opererer Earth Minotaur uavhengig. Gruppens fokus på tibetanske og uiguriske samfunn stemmer overens med lignende kampanjer av motstandere som Evasive Panda og Scarlet Mimic. Earth Minotaur skiller seg imidlertid ut for sin bruk av svært tilpasningsdyktige verktøy og sofistikerte infeksjonskjeder.

Den pågående utviklingen av MOONSHINE

MOONSHINE er fortsatt et verktøysett under aktiv utvikling og deles mellom ulike trusselaktører, inkludert UNC5221 og Earth Minotaur. Dens fortsatte foredling understreker utholdenheten til motstandere som retter seg mot sårbare samfunn.

Siste tanker: Gjenkjenne og redusere trusselen

Earth Minotaur eksemplifiserer den økende kompleksiteten til målrettede cyberangrep. Brukere oppfordres til å opprettholde oppdatert programvare, utvise forsiktighet med uønskede lenker og være på vakt mot phishing-forsøk. Ettersom trusselaktører finpusser taktikken sin, forblir proaktive cybersikkerhetstiltak den første forsvarslinjen mot trusler i utvikling som Earth Minotaur.

Trender

Mest sett

Laster inn...