Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Ușile din spate Ușa din spate DarkNimbus

Ușa din spate DarkNimbus

Până în Mezo în Ușile din spate, Amenințare persistentă avansată (APT), Malware mobil
Tradu in:
Română

Un grup de amenințări neidentificat anterior, denumit acum Minotaurul Pământului, a apărut ca un jucător important în supravegherea cibernetică. Folosind instrumente sofisticate precum setul de exploatare MOONSHINE și o ușă din spate nou identificată numită DarkNimbus, Earth Minotaur și-a demonstrat capacitatea de a viza atât dispozitivele Android, cât și Windows, într-un efort calculat de a infiltra și monitoriza comunitățile tibetane și uigure.

Setul de exploatare MOONSHINE: o poartă de acces pentru amenințările pe mai multe platforme

Elementul central al operațiunilor Minotaurului Pământului este kitul de exploatare MOONSHINE. Documentat inițial în 2019 în timpul atacurilor cibernetice asupra țintelor tibetane, MOONSHINE exploatează vulnerabilitățile din browserele și aplicațiile bazate pe Chromium pentru a-și livra sarcinile utile. De atunci, a evoluat, încorporând vulnerabilități suplimentare, cum ar fi CVE-2020-6418, o defecțiune a motorului JavaScript V8 corectat de Google la începutul anului 2020.

Setul de exploatare este deosebit de versatil. Acesta vizează aplicații precum Google Chrome, WeChat, QQ și LINE și este proiectat să se infiltreze în dispozitivele victimelor prin link-uri corupte. Aceste link-uri sunt adesea deghizate ca conținut benign, cum ar fi anunțuri sau multimedia legate de comunitățile tibetane și uigure, pentru a maximiza eficacitatea tacticilor de inginerie socială.

DarkNimbus: O ușă din spate versatilă și intruzivă

Odată ce MOONSHINE obține acces la un dispozitiv, acesta oferă ușa din spate DarkNimbus, un instrument special conceput pentru supravegherea pe termen lung.

DarkNimbus pe Android

Varianta Android a DarkNimbus este excepțional de intruzivă, utilizând protocolul XMPP pentru a comunica cu operatorii săi. Este echipat pentru a exfiltra date sensibile, inclusiv:

  • Metadatele dispozitivului
  • Date de geolocalizare
  • Istoricul apelurilor
  • Contacte și mesaje
  • Marcaje din browser și conținut din clipboard

De asemenea, DarkNimbus exploatează serviciile de accesibilitate Android pentru a intercepta mesajele din aplicații de comunicare populare precum WhatsApp, WeChat și Skype. În plus, poate executa comenzi shell, înregistra apeluri, poate face capturi de ecran și chiar se poate dezinstala pentru a evita detectarea.

DarkNimbus pe Windows

Deși mai puțin bogată în funcții, versiunea Windows rămâne un instrument puternic pentru exfiltrarea datelor. Activ de la sfârșitul anului 2020, poate captura informații despre sistem, apăsări de taste, date din clipboard, acreditări salvate și istoricul browserului.

Inginerie socială și lanțuri de exploatare: anatomia unui atac

Minotaurul Pământului se bazează foarte mult pe ingineria socială pentru a atrage victimele în capcana sa. Legăturile amenințătoare încorporate în aplicațiile de mesagerie instantanee redirecționează victimele către unul dintre cele peste 55 de servere de exploatare MOONSHINE. Aceste servere implementează diverse strategii bazate pe dispozitivul victimei și configurația browserului:

  • Execuție exploatare : Dacă sunt identificate vulnerabilități, serverul instalează ușa din spate DarkNimbus.
  • Redirecționare phishing : Dacă exploatările eșuează, victimele pot întâlni pagini de phishing care le îndeamnă să-și actualizeze browserele, ceea ce poate duce la alte compromisuri.

În unele cazuri, atacul implică downgrade-ul motorului browserului în cadrul unor aplicații precum WeChat, înlocuindu-l cu o versiune troianizată care facilitează accesul persistent.

Acțiunea globală a Minotaurului Pământului

Activitățile grupului nu sunt limitate geografic. Victimele au fost identificate în 18 țări, inclusiv SUA, Canada, India, Germania și Taiwan, evidențiind sfera globală a operațiunilor sale.

În timp ce MOONSHINE a fost asociat cu alte grupuri de amenințări precum POISON CARP și Earth Empusa, Earth Minotaur operează independent. Accentul grupului asupra comunităților tibetane și uigure se aliniază cu campaniile similare ale unor adversari precum Evasive Panda și Scarlet Mimic. Cu toate acestea, Minotaurul Pământului se remarcă prin utilizarea instrumentelor extrem de adaptabile și a lanțurilor de infecție sofisticate.

Evoluția continuă a MOONSHINE

MOONSHINE rămâne un set de instrumente aflat în dezvoltare activă și este împărtășit între diverși actori amenințări, inclusiv UNC5221 și Earth Minotaur. Rafinarea sa continuă subliniază persistența adversarilor care vizează comunitățile vulnerabile.

Gânduri finale: recunoașterea și atenuarea amenințării

Minotaurul Pământului exemplifica complexitatea tot mai mare a atacurilor cibernetice vizate. Utilizatorii sunt îndemnați să mențină software-ul actualizat, să fie precauți cu link-urile nesolicitate și să rămână vigilenți împotriva tentativelor de phishing. Pe măsură ce actorii amenințărilor își perfecționează tactica, măsurile proactive de securitate cibernetică rămân prima linie de apărare împotriva amenințărilor în evoluție precum Minotaurul Pământului.

Trending

Cele mai văzute

Ferestre pop-up „Dacă aveți 18 ani Atingeți Permite”.

Mesaje de avertizare false
26,636
Ferestrele pop-up „Dacă aveți 18 ani Atingeți Permite” sunt un tip de anunț pop-up care apare pe ecranul unui utilizator când navighează pe internet. Aceste ferestre pop-up pot fi destul de alarmante pentru utilizatori, deoarece îi îndeamnă să facă clic pe butonul „permite” pentru a continua să folosească site-ul web pe care se află în prezent. Aceste ferestre pop-up sunt asociate cu programe...
Se încarcă...