Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Backdoors DarkNimbus Backdoor

DarkNimbus Backdoor

Por Mezo em Backdoors, Ameaça Persistente Avançada (APT), Malware móvel
Traduzir Para:
Português

Um grupo de ameaças não identificado anteriormente, designado Earth Minotaur, surgiu como um participante significativo na vigilância cibernética. Usando ferramentas sofisticadas como o kit de exploração MOONSHINE e um backdoor recém-identificado chamado DarkNimbus, o Earth Minotaur demonstrou sua capacidade de atingir dispositivos Android e Windows em um esforço calculado para se infiltrar e monitorar as comunidades tibetana e uigur.

O Kit de Exploração MOONSHINE: Um Portal para Ameaças de Multiplataforma

Central para as operações do Earth Minotaur é o kit de exploração MOONSHINE. Originalmente documentado em 2019 durante ataques cibernéticos a alvos tibetanos, o MOONSHINE explora vulnerabilidades em navegadores e aplicativos baseados em Chromium para entregar suas cargas úteis. Desde então, ele evoluiu, incorporando vulnerabilidades adicionais, como CVE-2020-6418, uma falha no mecanismo JavaScript V8 corrigido pelo Google no início de 2020.

O kit de exploração é notavelmente versátil. Ele tem como alvo aplicativos como Google Chrome, WeChat, QQ e LINE e é projetado para se infiltrar nos dispositivos das vítimas por meio de links corrompidos. Esses links são frequentemente disfarçados como conteúdo benigno, como anúncios ou multimídia relacionados às comunidades tibetana e uigur, para maximizar a eficácia das táticas de engenharia social.

DarkNimbus: Um Backdoor Versátil e Intrusivo

Quando o MOONSHINE obtém acesso a um dispositivo, ele fornece o backdoor DarkNimbus, uma ferramenta projetada especificamente para vigilância de longo prazo.

O DarkNimbus no Android

A variante Android do DarkNimbus é excepcionalmente intrusiva, alavancando o protocolo XMPP para se comunicar com seus operadores. Ele é equipado para exfiltrar dados sensíveis, incluindo:

  • Metadados do dispositivo
  • Dados de geolocalização
  • Histórico de chamadas
  • Contatos e mensagens
  • Favoritos do navegador e conteúdo da área de transferência

O DarkNimbus também explora os serviços de acessibilidade do Android para interceptar mensagens de aplicativos de comunicação populares como WhatsApp, WeChat e Skype. Além disso, ele pode executar comandos shell, gravar chamadas, capturar capturas de tela e até mesmo se desinstalar para evitar a detecção.

O DarkNimbus no Windows

Embora menos rica em recursos, a versão para Windows continua sendo uma ferramenta potente para exfiltração de dados. Ativa desde o final de 2020, ela pode capturar informações do sistema, pressionamentos de tecla, dados da área de transferência, credenciais salvas e histórico do navegador.

Engenharia Social e Cadeias de Exploração: A Anatomia de um Ataque

O Earth Minotaur depende muito de engenharia social para atrair vítimas para sua armadilha. Links ameaçadores incorporados em aplicativos de mensagens instantâneas redirecionam as vítimas para um dos mais de 55 servidores de exploração MOONSHINE. Esses servidores implementam várias estratégias com base no dispositivo da vítima e na configuração do navegador:

  • Execução de exploração : Se vulnerabilidades forem identificadas, o servidor instala o backdoor DarkNimbus.
  • Redirecionamento de phishing : Se as explorações falharem, as vítimas podem encontrar páginas de phishing solicitando que atualizem seus navegadores, o que pode levar a maiores comprometimentos.

Em alguns casos, o ataque envolve a desatualização do mecanismo do navegador em aplicativos como o WeChat, substituindo-o por uma versão trojanizada que facilita o acesso persistente.

O Alcance Global do Earth Minotauro 

As atividades do grupo não são geograficamente limitadas. Vítimas foram identificadas em 18 países, incluindo EUA, Canadá, Índia, Alemanha e Taiwan, destacando o escopo global de suas operações.

Enquanto MOONSHINE foi associado a outros grupos de ameaças como POISON CARP e Earth Empusa, Earth Minotaur opera de forma independente. O foco do grupo nas comunidades tibetana e uigur se alinha com campanhas semelhantes de adversários como Evasive Panda e Scarlet Mimic. No entanto, Earth Minotaur se destaca pelo uso de ferramentas altamente adaptáveis e cadeias de infecção sofisticadas.

A Evolução Contínua do MOONSHINE

MOONSHINE continua sendo um kit de ferramentas em desenvolvimento ativo e é compartilhado entre vários agentes de ameaças, incluindo UNC5221 e Earth Minotaur. Seu refinamento contínuo ressalta a persistência de adversários mirando comunidades vulneráveis.

Considerações Finais: Reconhecendo e Mitigando a Ameaça

O Earth Minotaur exemplifica a crescente complexidade dos ataques cibernéticos direcionados. Os usuários são incentivados a manter o software atualizado, ter cuidado com links não solicitados e permanecer vigilantes contra tentativas de phishing. À medida que os agentes de ameaças refinam suas táticas, medidas proativas de segurança cibernética continuam sendo a primeira linha de defesa contra ameaças em evolução como o Earth Minotaur.

Tendendo

Mais visto

Carregando...