Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Achterdeurtjes DarkNimbus Achterdeur

DarkNimbus Achterdeur

Tegen Mezo in Achterdeurtjes, Geavanceerde aanhoudende dreiging (APT), Mobiele malware
Vertalen naar:
Nederlands

Een voorheen niet-geïdentificeerde dreigingsgroep, nu aangeduid als Earth Minotaur, is opgedoken als een belangrijke speler in cybersurveillance. Met behulp van geavanceerde tools zoals de MOONSHINE exploit kit en een onlangs geïdentificeerde backdoor genaamd DarkNimbus, heeft Earth Minotaur aangetoond dat het zowel Android- als Windows-apparaten kan targeten in een berekende poging om de Tibetaanse en Oeigoerse gemeenschappen te infiltreren en te monitoren.

De MOONSHINE Exploit Kit: een gateway voor cross-platform bedreigingen

Centraal in de operaties van Earth Minotaur staat de MOONSHINE exploit kit. Oorspronkelijk gedocumenteerd in 2019 tijdens cyberaanvallen op Tibetaanse doelen, exploiteert MOONSHINE kwetsbaarheden in Chromium-gebaseerde browsers en applicaties om zijn payloads te leveren. Het is sindsdien geëvolueerd en heeft extra kwetsbaarheden opgenomen, zoals CVE-2020-6418, een fout in de V8 JavaScript-engine die begin 2020 door Google is gepatcht.

De exploitkit is opvallend veelzijdig. Het richt zich op applicaties als Google Chrome, WeChat, QQ en LINE en is ontworpen om de apparaten van slachtoffers te infiltreren via corrupte links. Deze links worden vaak vermomd als goedaardige content, zoals aankondigingen of multimedia gerelateerd aan de Tibetaanse en Oeigoerse gemeenschappen, om de effectiviteit van social engineering-tactieken te maximaliseren.

DarkNimbus: een veelzijdige en opdringerige achterdeur

Zodra MOONSHINE toegang krijgt tot een apparaat, activeert het de DarkNimbus-backdoor, een hulpmiddel dat speciaal is ontworpen voor langdurige bewaking.

DarkNimbus op Android

De Android-variant van DarkNimbus is uitzonderlijk opdringerig en maakt gebruik van het XMPP-protocol om met zijn operators te communiceren. Het is uitgerust om gevoelige gegevens te exfiltreren, waaronder:

  • Apparaatmetagegevens
  • Geolocatiegegevens
  • Belgeschiedenis
  • Contacten en berichten
  • Browserbladwijzers en klembordinhoud

DarkNimbus maakt ook gebruik van de toegankelijkheidsservices van Android om berichten van populaire communicatietoepassingen zoals WhatsApp, WeChat en Skype te onderscheppen. Daarnaast kan het shell-opdrachten uitvoeren, gesprekken opnemen, screenshots maken en zichzelf zelfs verwijderen om detectie te ontwijken.

DarkNimbus op Windows

Hoewel de Windows-versie minder functies heeft, blijft het een krachtig hulpmiddel voor data-exfiltratie. Het is actief sinds eind 2020 en kan systeeminformatie, toetsaanslagen, klembordgegevens, opgeslagen referenties en browsergeschiedenis vastleggen.

Social Engineering en Exploit Chains: De Anatomie van een Aanval

De Earth Minotaurus vertrouwt zwaar op social engineering om slachtoffers in de val te lokken. Bedreigende links die in instant messaging-apps zijn ingebed, leiden slachtoffers om naar een van de meer dan 55 MOONSHINE-exploitservers. Deze servers zetten verschillende strategieën in op basis van het apparaat en de browserconfiguratie van het slachtoffer:

  • Exploit-uitvoering : Als er kwetsbaarheden worden geïdentificeerd, installeert de server de DarkNimbus-backdoor.
  • Phishing-omleiding : Als exploits mislukken, kunnen slachtoffers phishingpagina's tegenkomen die hen aansporen hun browser te updaten, wat kan leiden tot verdere inbreuken.

In sommige gevallen wordt bij de aanval de browser-engine in applicaties als WeChat gedowngraded en vervangen door een trojan-versie die permanente toegang mogelijk maakt.

Het wereldwijde bereik van de Aarde Minotaurus

De activiteiten van de groep zijn niet geografisch beperkt. Slachtoffers zijn geïdentificeerd in 18 landen, waaronder de VS, Canada, India, Duitsland en Taiwan, wat de wereldwijde reikwijdte van de activiteiten benadrukt.

Hoewel MOONSHINE in verband is gebracht met andere bedreigingsgroepen zoals POISON CARP en Earth Empusa, opereert Earth Minotaur onafhankelijk. De focus van de groep op Tibetaanse en Oeigoerse gemeenschappen komt overeen met soortgelijke campagnes van tegenstanders zoals Evasive Panda en Scarlet Mimic. Earth Minotaur valt echter op door het gebruik van zeer aanpasbare tools en geavanceerde infectieketens.

De voortdurende evolutie van MOONSHINE

MOONSHINE blijft een toolkit die actief wordt ontwikkeld en wordt gedeeld door verschillende dreigingsactoren, waaronder UNC5221 en Earth Minotaur. De voortdurende verfijning onderstreept de hardnekkigheid van tegenstanders die kwetsbare gemeenschappen als doelwit hebben.

Laatste gedachten: het herkennen en verminderen van de dreiging

De Earth Minotaur is een voorbeeld van de groeiende complexiteit van gerichte cyberaanvallen. Gebruikers worden dringend verzocht om software up-to-date te houden, voorzichtig te zijn met ongevraagde links en waakzaam te blijven voor phishingpogingen. Terwijl dreigingsactoren hun tactieken verfijnen, blijven proactieve cybersecuritymaatregelen de eerste verdedigingslinie tegen evoluerende dreigingen zoals de Earth Minotaur.

Trending

Meest bekeken

Bezig met laden...