Multilicenčná zľavová ponuka
Databáza hrozieb Zadné vrátka DarkNimbus Backdoor

DarkNimbus Backdoor

Do roku Mezo v roku Zadné vrátka, Pokročilá perzistentná hrozba (APT), Mobilný malvér
Preložiť do:
Slovenčina

Predtým neidentifikovaná skupina hrozieb, teraz označená ako Zemský Minotaur, sa objavila ako významný hráč v kybernetickom sledovaní. Pomocou sofistikovaných nástrojov, ako je súprava MOONSHINE exploit kit a novo identifikované zadné vrátka s názvom DarkNimbus, Earth Minotaur preukázal svoju schopnosť zamerať sa na zariadenia so systémom Android aj Windows vo vypočítanom úsilí infiltrovať a monitorovať tibetskú a ujgurskú komunitu.

MOONSHINE Exploit Kit: Brána pre multiplatformové hrozby

Ústredným bodom operácií Zeme Minotaura je exploit kit MOONSHINE. MOONSHINE, pôvodne zdokumentovaný v roku 2019 počas kybernetických útokov na tibetské ciele, využíva zraniteľné miesta v prehliadačoch a aplikáciách založených na prehliadači Chromium na poskytovanie svojich užitočných dát. Odvtedy sa vyvinul a obsahuje ďalšie zraniteľné miesta, ako napríklad CVE-2020-6418, chybu v motore JavaScript V8, ktorú Google opravil začiatkom roka 2020.

Exploit kit je mimoriadne všestranný. Zameriava sa na aplikácie ako Google Chrome, WeChat, QQ a LINE a je navrhnutý tak, aby infiltroval zariadenia obetí prostredníctvom poškodených odkazov. Tieto odkazy sú často maskované ako neškodný obsah, ako sú oznámenia alebo multimédiá súvisiace s tibetskými a ujgurskými komunitami, aby sa maximalizovala účinnosť taktiky sociálneho inžinierstva.

DarkNimbus: Všestranné a rušivé zadné vrátka

Akonáhle MOONSHINE získa prístup k zariadeniu, poskytne zadné vrátka DarkNimbus, nástroj špeciálne navrhnutý na dlhodobé sledovanie.

DarkNimbus v systéme Android

Android variant DarkNimbus je výnimočne rušivý a využíva protokol XMPP na komunikáciu so svojimi operátormi. Je vybavený na extrakciu citlivých údajov, vrátane:

  • Metadáta zariadenia
  • Geolokačné údaje
  • História hovorov
  • Kontakty a správy
  • Záložky prehliadača a obsah schránky

DarkNimbus tiež využíva služby dostupnosti systému Android na zachytenie správ z populárnych komunikačných aplikácií, ako sú WhatsApp, WeChat a Skype. Okrem toho môže vykonávať príkazy shellu, nahrávať hovory, zachytávať snímky obrazovky a dokonca sa odinštalovať, aby sa vyhol detekcii.

DarkNimbus v systéme Windows

Hoci je verzia pre Windows menej bohatá na funkcie, zostáva účinným nástrojom na exfiltráciu údajov. Aktívny od konca roku 2020, dokáže zachytávať systémové informácie, stlačenia klávesov, údaje zo schránky, uložené prihlasovacie údaje a históriu prehliadača.

Sociálne inžinierstvo a exploatačné reťazce: Anatómia útoku

Zemský Minotaurus sa vo veľkej miere spolieha na sociálne inžinierstvo, aby nalákal obete do svojej pasce. Hrozivé odkazy vložené do aplikácií na odosielanie okamžitých správ presmerujú obete na jeden z viac ako 55 serverov MOONSHINE exploit. Tieto servery nasadzujú rôzne stratégie na základe konfigurácie zariadenia obete a prehliadača:

  • Exploit Execution : Ak sa zistia slabé miesta, server nainštaluje zadné vrátka DarkNimbus.
  • Presmerovanie neoprávneného získavania údajov : Ak zneužitia zlyhajú, obete sa môžu stretnúť s phishingovými stránkami, ktoré ich vyzývajú, aby aktualizovali svoje prehliadače, čo môže viesť k ďalším kompromisom.

V niektorých prípadoch útok zahŕňa downgrade motora prehliadača v aplikáciách, ako je WeChat, jeho nahradenie trojanizovanou verziou, ktorá uľahčuje trvalý prístup.

Globálny dosah Minotaura Zeme

Činnosť skupiny nie je geograficky obmedzená. Obete boli identifikované v 18 krajinách vrátane USA, Kanady, Indie, Nemecka a Taiwanu, čo poukazuje na globálny rozsah jej operácií.

Zatiaľ čo MOONSHINE bol spojený s inými skupinami hrozieb, ako sú POISON CARP a Earth Empusa, Zemský Minotaur funguje nezávisle. Zameranie skupiny na tibetské a ujgurské komunity je v súlade s podobnými kampaňami protivníkov, ako sú Evasive Panda a Scarlet Mimic. Zemský Minotaur však vyniká používaním vysoko prispôsobivých nástrojov a sofistikovaných infekčných reťazcov.

Prebiehajúca evolúcia MOONSHINE

MOONSHINE zostáva súborom nástrojov, ktorý sa aktívne vyvíja a zdieľajú ho rôzni aktéri hrozieb vrátane UNC5221 a Zemského Minotaura. Jeho neustále zdokonaľovanie podčiarkuje vytrvalosť protivníkov zameraných na zraniteľné spoločenstvá.

Záverečné myšlienky: Rozpoznanie a zmiernenie hrozby

Zemský Minotaurus je príkladom rastúcej zložitosti cielených kybernetických útokov. Používateľov vyzývame, aby udržiavali aktualizovaný softvér, boli opatrní pri nevyžiadaných odkazoch a boli ostražití pred pokusmi o phishing. Keďže aktéri hrozieb zdokonaľujú svoju taktiku, proaktívne opatrenia kybernetickej bezpečnosti zostávajú prvou líniou obrany proti vyvíjajúcim sa hrozbám, ako je Zemský Minotaurus.

Trendy

Najviac videné

Vyskakovacie okná „Ak máte 18 rokov, klepnite na...

Falošné varovné správy
26,636
Vyskakovacie okná „Ak máte 18 rokov“ sú typom kontextových reklám, ktoré sa zobrazujú na obrazovke používateľa pri prehliadaní internetu. Tieto kontextové okná môžu byť pre používateľov dosť alarmujúce, pretože ich vyzývajú, aby klikli na tlačidlo „povoliť“, aby mohli pokračovať v používaní webovej stránky, na ktorej sa práve nachádzajú. Tieto kontextové okná sú spojené s takými nežiaducimi...
Načítava...