Oferta rabatowa na wiele licencji
Baza danych zagrożeń Tylne drzwi Tylne wejście DarkNimbus

Tylne wejście DarkNimbus

Do Mezo w Tylne drzwi, Zaawansowane trwałe zagrożenie (APT), Mobilne złośliwe oprogramowanie
Przetłumacz na:
Polski

Wcześniej niezidentyfikowana grupa zagrożeń, obecnie oznaczona jako Earth Minotaur, ujawniła się jako znaczący gracz w cybernadzorze. Wykorzystując zaawansowane narzędzia, takie jak zestaw exploitów MOONSHINE i nowo zidentyfikowane tylne wejście o nazwie DarkNimbus, Earth Minotaur wykazała swoją zdolność do atakowania urządzeń z systemem Android i Windows w wyrachowanym wysiłku infiltracji i monitorowania społeczności tybetańskiej i ujgurskiej.

Zestaw exploitów MOONSHINE: brama dla zagrożeń międzyplatformowych

Centralnym elementem działań Earth Minotaur jest zestaw exploitów MOONSHINE. Pierwotnie udokumentowany w 2019 r. podczas cyberataków na cele tybetańskie, MOONSHINE wykorzystuje luki w przeglądarkach i aplikacjach opartych na Chromium, aby dostarczać swoje ładunki. Od tego czasu ewoluował, włączając dodatkowe luki, takie jak CVE-2020-6418, lukę w silniku JavaScript V8 załataną przez Google na początku 2020 r.

Zestaw exploitów jest wyjątkowo wszechstronny. Celuje w aplikacje takie jak Google Chrome, WeChat, QQ i LINE i jest przeznaczony do infiltracji urządzeń ofiar za pomocą uszkodzonych linków. Te linki są często maskowane jako nieszkodliwe treści, takie jak ogłoszenia lub multimedia związane ze społecznościami tybetańskimi i ujgurskimi, aby zmaksymalizować skuteczność taktyk inżynierii społecznej.

DarkNimbus: Wszechstronne i inwazyjne tylne wejście

Gdy MOONSHINE uzyska dostęp do urządzenia, udostępnia tylne wejście DarkNimbus, narzędzie zaprojektowane specjalnie do długoterminowego nadzoru.

DarkNimbus na Androida

Wariant DarkNimbus na Androida jest wyjątkowo inwazyjny, wykorzystując protokół XMPP do komunikacji z operatorami. Jest wyposażony w możliwość eksfiltracji poufnych danych, w tym:

  • Metadane urządzenia
  • Dane geolokalizacyjne
  • Historia połączeń
  • Kontakty i wiadomości
  • Zakładki przeglądarki i zawartość schowka

DarkNimbus wykorzystuje również usługi ułatwień dostępu Androida do przechwytywania wiadomości z popularnych aplikacji komunikacyjnych, takich jak WhatsApp, WeChat i Skype. Ponadto może wykonywać polecenia powłoki, nagrywać rozmowy, robić zrzuty ekranu, a nawet odinstalowywać się, aby uniknąć wykrycia.

DarkNimbus na Windows

Choć mniej funkcjonalna, wersja na Windowsa pozostaje potężnym narzędziem do eksfiltracji danych. Aktywna od końca 2020 r., może przechwytywać informacje systemowe, naciśnięcia klawiszy, dane ze schowka, zapisane poświadczenia i historię przeglądarki.

Inżynieria społeczna i łańcuchy ataków: anatomia ataku

Earth Minotaur w dużym stopniu opiera się na inżynierii społecznej, aby zwabić ofiary w pułapkę. Groźne linki osadzone w aplikacjach do obsługi wiadomości błyskawicznych przekierowują ofiary do jednego z ponad 55 serwerów exploit MOONSHINE. Serwery te wdrażają różne strategie w oparciu o konfigurację urządzenia i przeglądarki ofiary:

  • Wykonanie exploita : Jeśli zostaną zidentyfikowane luki w zabezpieczeniach, serwer instaluje tylne wejście DarkNimbus.
  • Przekierowanie phishingu : Jeśli ataki się nie powiodą, ofiary mogą natrafić na strony phishingowe nakłaniające do aktualizacji przeglądarek, co może prowadzić do dalszych naruszeń bezpieczeństwa.

W niektórych przypadkach atak polega na obniżeniu wersji silnika przeglądarki w aplikacjach takich jak WeChat i zastąpieniu go zmodyfikowaną wersją, która ułatwia stały dostęp.

Globalny zasięg Minotaura Ziemi

Działalność grupy nie jest ograniczona geograficznie. Ofiary zidentyfikowano w 18 krajach, w tym w USA, Kanadzie, Indiach, Niemczech i na Tajwanie, co podkreśla globalny zasięg jej działalności.

Podczas gdy MOONSHINE był kojarzony z innymi grupami zagrożenia, takimi jak POISON CARP i Earth Empusa, Earth Minotaur działa niezależnie. Skupienie grupy na społecznościach tybetańskich i ujgurskich jest zgodne z podobnymi kampaniami przeciwników, takich jak Evasive Panda i Scarlet Mimic. Jednak Earth Minotaur wyróżnia się wykorzystaniem wysoce adaptowalnych narzędzi i wyrafinowanych łańcuchów infekcji.

Ciągła ewolucja MOONSHINE

MOONSHINE pozostaje zestawem narzędzi w trakcie aktywnego rozwoju i jest współdzielony przez różnych aktorów zagrożeń, w tym UNC5221 i Earth Minotaur. Jego ciągłe udoskonalanie podkreśla upór przeciwników atakujących podatne społeczności.

Podsumowanie: Rozpoznawanie i łagodzenie zagrożenia

Earth Minotaur jest przykładem rosnącej złożoności ukierunkowanych cyberataków. Użytkownicy są proszeni o aktualizację oprogramowania, zachowanie ostrożności w przypadku niechcianych linków i zachowanie czujności w przypadku prób phishingu. W miarę jak aktorzy zagrożeń udoskonalają swoje taktyki, proaktywne środki cyberbezpieczeństwa pozostają pierwszą linią obrony przed ewoluującymi zagrożeniami, takimi jak Earth Minotaur.

Popularne

Najczęściej oglądane

Ładowanie...