Popust za več licenc
Podjetje o grožnjah Zadnja vrata Backdoor DarkNimbus

Backdoor DarkNimbus

Do leta Mezo leta Zadnja vrata, Napredna trajna grožnja (APT), Mobilna zlonamerna programska oprema
Prevedi v:
Slovenščina

Prej neznana skupina groženj, zdaj imenovana Minotaver Zemlje, se je pojavila kot pomemben igralec v kibernetskem nadzoru. Z uporabo sofisticiranih orodij, kot sta komplet za izkoriščanje MOONSHINE in na novo odkrita stranska vrata, imenovana DarkNimbus, je Earth Minotaur pokazal svojo sposobnost ciljanja na naprave Android in Windows v preračunljivem prizadevanju za infiltracijo in nadzor tibetanske in ujgurske skupnosti.

Komplet izkoriščanja MOONSHINE: prehod za grožnje med platformami

Osrednjega pomena za delovanje Minotavra Zemlje je komplet za izkoriščanje MOONSHINE. Prvotno dokumentiran leta 2019 med kibernetskimi napadi na tibetanske tarče, MOONSHINE izkorišča ranljivosti v brskalnikih in aplikacijah, ki temeljijo na Chromiumu, za dostavo svojih koristnih tovorov. Od takrat se je razvil in vključuje dodatne ranljivosti, kot je CVE-2020-6418, napaka v motorju V8 JavaScript, ki jo je Google popravil v začetku leta 2020.

Komplet za izkoriščanje je izjemno vsestranski. Cilja na aplikacije, kot so Google Chrome, WeChat, QQ in LINE, in je zasnovan za infiltracijo v naprave žrtev prek poškodovanih povezav. Te povezave so pogosto prikrite kot benigna vsebina, kot so obvestila ali večpredstavnost, povezana s tibetanskimi in ujgurskimi skupnostmi, da bi povečali učinkovitost taktik socialnega inženiringa.

DarkNimbus: vsestranska in vsiljiva stranska vrata

Ko MOONSHINE pridobi dostop do naprave, zagotovi stranska vrata DarkNimbus, orodje, posebej zasnovano za dolgoročni nadzor.

DarkNimbus na Androidu

Različica DarkNimbus za Android je izjemno vsiljiva, saj za komunikacijo s svojimi operaterji uporablja protokol XMPP. Opremljen je za izločanje občutljivih podatkov, vključno z:

  • Metapodatki naprave
  • Geolokacijski podatki
  • Zgodovina klicev
  • Kontakti in sporočila
  • Zaznamki brskalnika in vsebina odložišča

DarkNimbus izkorišča tudi storitve dostopnosti Androida za prestrezanje sporočil priljubljenih komunikacijskih aplikacij, kot so WhatsApp, WeChat in Skype. Poleg tega lahko izvaja ukaze lupine, snema klice, zajema posnetke zaslona in se celo odstrani, da se izogne zaznavanju.

DarkNimbus v sistemu Windows

Čeprav je različica sistema Windows manj bogata s funkcijami, ostaja močno orodje za izločanje podatkov. Aktiven je od konca leta 2020 in lahko zajema sistemske informacije, pritiske tipk, podatke iz odložišča, shranjene poverilnice in zgodovino brskalnika.

Socialni inženiring in verige izkoriščanja: anatomija napada

Zemeljski minotaver se močno zanaša na socialni inženiring, da bi zvabil žrtve v svojo past. Nevarne povezave, vdelane v aplikacije za neposredno sporočanje, žrtve preusmerijo na enega od več kot 55 strežnikov MOONSHINE, ki izkoriščajo. Ti strežniki uporabljajo različne strategije, ki temeljijo na žrtvini napravi in konfiguraciji brskalnika:

  • Izvrševanje izkoriščanja : Če so prepoznane ranljivosti, strežnik namesti stranska vrata DarkNimbus.
  • Preusmeritev z lažnim predstavljanjem : Če izkoriščanja ne uspejo, lahko žrtve naletijo na strani z lažnim predstavljanjem, ki jih pozivajo, naj posodobijo svoje brskalnike, kar lahko vodi do nadaljnjih kompromisov.

V nekaterih primerih napad vključuje znižanje različice motorja brskalnika v aplikacijah, kot je WeChat, in njegovo zamenjavo s trojansko različico, ki omogoča trajen dostop.

Globalni doseg zemeljskega minotavra

Dejavnost skupine ni geografsko omejena. Žrtve so bile identificirane v 18 državah, vključno z ZDA, Kanado, Indijo, Nemčijo in Tajvanom, kar poudarja globalni obseg njegovih operacij.

Medtem ko je bil MOONSHINE povezan z drugimi skupinami groženj, kot sta POISON CARP in Earth Empusa, Earth Minotaur deluje neodvisno. Osredotočenost skupine na tibetanske in ujgurske skupnosti se ujema s podobnimi kampanjami nasprotnikov, kot sta Evasive Panda in Scarlet Mimic. Vendar Earth Minotaur izstopa po uporabi zelo prilagodljivih orodij in prefinjenih verig okužb.

Nadaljnji razvoj MOONSHINE

MOONSHINE ostaja komplet orodij v aktivnem razvoju in si ga delijo različni akterji groženj, vključno z UNC5221 in Minotavrom Zemlje. Njegovo nenehno izpopolnjevanje poudarja vztrajnost nasprotnikov, ki ciljajo na ranljive skupnosti.

Končne misli: Prepoznavanje in ublažitev grožnje

Zemeljski minotaver ponazarja vse večjo kompleksnost ciljanih kibernetskih napadov. Uporabnike pozivamo, naj vzdržujejo posodobljeno programsko opremo, ravnajo previdno z nezaželenimi povezavami in ostanejo pozorni na poskuse lažnega predstavljanja. Medtem ko akterji groženj izpopolnjujejo svoje taktike, proaktivni ukrepi kibernetske varnosti ostajajo prva obrambna linija pred razvijajočimi se grožnjami, kot je zemeljski minotaver.

V trendu

Najbolj gledan

Nalaganje...