DarkNimbus Бэкдор
Ранее неизвестная группа угроз, теперь обозначенная как Earth Minotaur, всплыла как важный игрок в кибернаблюдении. Используя сложные инструменты, такие как набор эксплойтов MOONSHINE и недавно обнаруженный бэкдор под названием DarkNimbus, Earth Minotaur продемонстрировала свою способность атаковать как устройства Android, так и Windows в расчетливой попытке проникновения и мониторинга тибетских и уйгурских общин.
Оглавление
Набор эксплойтов MOONSHINE: шлюз для кроссплатформенных угроз
Центральным элементом операций Earth Minotaur является набор эксплойтов MOONSHINE. Первоначально задокументированный в 2019 году во время кибератак на тибетские цели, MOONSHINE использует уязвимости в браузерах и приложениях на базе Chromium для доставки своих полезных нагрузок. С тех пор он развивался, включая дополнительные уязвимости, такие как CVE-2020-6418, недостаток в движке V8 JavaScript, исправленный Google в начале 2020 года.
Набор эксплойтов отличается особой универсальностью. Он нацелен на такие приложения, как Google Chrome, WeChat, QQ и LINE, и предназначен для проникновения на устройства жертв через поврежденные ссылки. Эти ссылки часто маскируются под безвредный контент, такой как объявления или мультимедиа, связанные с тибетскими и уйгурскими общинами, чтобы максимально повысить эффективность тактик социальной инженерии.
DarkNimbus: универсальный и навязчивый бэкдор
Получив доступ к устройству, MOONSHINE устанавливает бэкдор DarkNimbus — инструмент, специально разработанный для долгосрочного наблюдения.
DarkNimbus на Android
Android-вариант DarkNimbus исключительно навязчив, он использует протокол XMPP для связи со своими операторами. Он оснащен для извлечения конфиденциальных данных, включая:
- Метаданные устройства
- Данные геолокации
- История звонков
- Контакты и сообщения
- Закладки браузера и содержимое буфера обмена
DarkNimbus также использует службы доступности Android для перехвата сообщений из популярных приложений для общения, таких как WhatsApp, WeChat и Skype. Кроме того, он может выполнять команды оболочки, записывать звонки, делать снимки экрана и даже удалять себя, чтобы избежать обнаружения.
DarkNimbus на Windows
Хотя версия для Windows менее функциональна, она остается мощным инструментом для извлечения данных. Активная с конца 2020 года, она может захватывать системную информацию, нажатия клавиш, данные буфера обмена, сохраненные учетные данные и историю браузера.
Социальная инженерия и цепочки эксплойтов: анатомия атаки
Earth Minotaur в значительной степени полагается на социальную инженерию, чтобы заманить жертв в свою ловушку. Угрожающие ссылки, встроенные в приложения для обмена мгновенными сообщениями, перенаправляют жертв на один из более чем 55 эксплойт-серверов MOONSHINE. Эти серверы используют различные стратегии в зависимости от устройства жертвы и конфигурации браузера:
- Выполнение эксплойта : если обнаружены уязвимости, сервер устанавливает бэкдор DarkNimbus.
- Фишинговое перенаправление : если эксплойты не срабатывают, жертвы могут столкнуться с фишинговыми страницами, призывающими их обновить свои браузеры, что может привести к дальнейшим взломам.
В некоторых случаях атака включает понижение версии браузерного движка в таких приложениях, как WeChat, путем замены его троянизированной версией, которая обеспечивает постоянный доступ.
Глобальный охват Минотавра Земли
Деятельность группы не ограничена географически. Жертвы были идентифицированы в 18 странах, включая США, Канаду, Индию, Германию и Тайвань, что подчеркивает глобальный масштаб ее операций.
В то время как MOONSHINE был связан с другими группами угроз, такими как POISON CARP и Earth Empusa, Earth Minotaur действует независимо. Нацеленность группы на тибетские и уйгурские общины совпадает с аналогичными кампаниями таких противников, как Evasive Panda и Scarlet Mimic. Однако Earth Minotaur выделяется использованием высокоадаптируемых инструментов и сложных цепочек заражения.
Продолжающаяся эволюция MOONSHINE
MOONSHINE остается набором инструментов, находящимся в активной разработке, и используется различными субъектами угроз, включая UNC5221 и Earth Minotaur. Его постоянное совершенствование подчеркивает настойчивость противников, нацеленных на уязвимые сообщества.
Заключительные мысли: Распознавание и смягчение угрозы
Earth Minotaur является примером растущей сложности целевых кибератак. Пользователям настоятельно рекомендуется поддерживать актуальное программное обеспечение, проявлять осторожность с нежелательными ссылками и сохранять бдительность в отношении попыток фишинга. Поскольку субъекты угроз совершенствуют свою тактику, проактивные меры кибербезопасности остаются первой линией обороны от развивающихся угроз, таких как Earth Minotaur.
