Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Dyer të pasme DarkNimbus Backdoor

DarkNimbus Backdoor

Nga MezoDyer të pasme, Kërcënimi i avancuar i vazhdueshëm (APT), Malware celular
Përkthe në:
Shqip

Një grup kërcënimi i paidentifikuar më parë, i quajtur tani Minotauri i Tokës, është shfaqur si një lojtar i rëndësishëm në mbikëqyrjen kibernetike. Duke përdorur mjete të sofistikuara si kompleti i shfrytëzimit MOONSHINE dhe një derë e pasme e sapoidentifikuar e quajtur DarkNimbus, Earth Minotaur ka demonstruar aftësinë e tij për të synuar pajisjet Android dhe Windows në një përpjekje të llogaritur për të depërtuar dhe monitoruar komunitetet tibetiane dhe ujgure.

Kompleti i Shfrytëzimit MOONSHINE: Një portë për kërcënimet ndër-platformë

Në qendër të operacioneve të Minotaurit në Tokë është kompleti i shfrytëzimit MOONSHINE. I dokumentuar fillimisht në vitin 2019 gjatë sulmeve kibernetike ndaj objektivave tibetiane, MOONSHINE shfrytëzon dobësitë në shfletuesit dhe aplikacionet e bazuara në Chromium për të ofruar ngarkesat e veta. Që atëherë, ai ka evoluar, duke përfshirë dobësi shtesë si CVE-2020-6418, një defekt në motorin V8 JavaScript të rregulluar nga Google në fillim të vitit 2020.

Kompleti i shfrytëzimit është veçanërisht i gjithanshëm. Ai synon aplikacione si Google Chrome, WeChat, QQ dhe LINE dhe është krijuar për të depërtuar në pajisjet e viktimave përmes lidhjeve të dëmtuara. Këto lidhje shpesh maskohen si përmbajtje beninje, të tilla si njoftime ose multimedia që lidhen me komunitetet tibetiane dhe ujgure, për të maksimizuar efektivitetin e taktikave të inxhinierisë sociale.

DarkNimbus: Një derë e pasme e gjithanshme dhe ndërhyrëse

Sapo MOONSHINE të fitojë akses në një pajisje, ai jep derën e pasme DarkNimbus, një mjet i krijuar posaçërisht për mbikëqyrje afatgjatë.

DarkNimbus në Android

Varianti Android i DarkNimbus është jashtëzakonisht ndërhyrës, duke shfrytëzuar protokollin XMPP për të komunikuar me operatorët e tij. Ai është i pajisur për të nxjerrë të dhëna të ndjeshme, duke përfshirë:

  • Meta të dhënat e pajisjes
  • Të dhënat e vendndodhjes
  • Historia e thirrjeve
  • Kontaktet dhe mesazhet
  • Faqeshënuesit e shfletuesit dhe përmbajtja e kujtesës së fragmenteve

DarkNimbus gjithashtu shfrytëzon shërbimet e aksesueshmërisë së Android për të përgjuar mesazhe nga aplikacionet e njohura të komunikimit si WhatsApp, WeChat dhe Skype. Për më tepër, ai mund të ekzekutojë komanda të predhave, të regjistrojë thirrje, të regjistrojë pamje nga ekrani dhe madje të çinstalojë veten për të shmangur zbulimin.

DarkNimbus në Windows

Edhe pse më pak i pasur me veçori, versioni i Windows mbetet një mjet i fuqishëm për nxjerrjen e të dhënave. Aktiv që nga fundi i vitit 2020, ai mund të kapë informacionin e sistemit, goditjet e tasteve, të dhënat e kujtesës, kredencialet e ruajtura dhe historinë e shfletuesit.

Inxhinieria Sociale dhe Zinxhirët e Shfrytëzimit: Anatomia e një Sulmi

Minotauri i Tokës mbështetet shumë në inxhinierinë sociale për të joshur viktimat në grackën e tij. Lidhjet kërcënuese të ngulitura në aplikacionet e mesazheve të çastit i ridrejtojnë viktimat në një nga mbi 55 serverët e shfrytëzimit të MOONSHINE. Këta serverë vendosin strategji të ndryshme bazuar në pajisjen e viktimës dhe konfigurimin e shfletuesit:

  • Ekzekutimi i Exploit : Nëse identifikohen dobësi, serveri instalon derën e pasme të DarkNimbus.
  • Ridrejtimi i phishing : Nëse shfrytëzimet dështojnë, viktimat mund të ndeshen me faqe phishing që i nxisin të përditësojnë shfletuesit e tyre, gjë që mund të çojë në kompromise të mëtejshme.

Në disa raste, sulmi përfshin uljen e motorit të shfletuesit brenda aplikacioneve si WeChat, duke e zëvendësuar atë me një version të trojanizuar që lehtëson aksesin e vazhdueshëm.

Arritja globale e Minotaurit të Tokës

Aktivitetet e grupit nuk janë të kufizuara gjeografikisht. Viktimat janë identifikuar në 18 vende, duke përfshirë SHBA-në, Kanadanë, Indinë, Gjermaninë dhe Tajvanin, duke theksuar shtrirjen globale të operacioneve të saj.

Ndërsa HËNSHINE është shoqëruar me grupe të tjera kërcënimi si POISON CARP dhe Earth Empusa, Minotauri i Tokës vepron në mënyrë të pavarur. Fokusi i grupit në komunitetet tibetiane dhe ujgure përputhet me fushata të ngjashme nga kundërshtarë të tillë si Panda Evasive dhe Scarlet Mimic. Sidoqoftë, Minotauri i Tokës dallohet për përdorimin e mjeteve shumë të adaptueshme dhe zinxhirëve të sofistikuar të infeksionit.

Evolucioni i vazhdueshëm i HËNËS

MOONSHINE mbetet një paketë mjetesh në zhvillim aktiv dhe ndahet midis aktorëve të ndryshëm të kërcënimit, duke përfshirë UNC5221 dhe Minotaurin e Tokës. Përsosja e vazhdueshme e tij nënvizon këmbënguljen e kundërshtarëve që synojnë komunitetet e cenueshme.

Mendimet përfundimtare: Njohja dhe Zbutja e Kërcënimit

Minotauri i Tokës ilustron kompleksitetin në rritje të sulmeve kibernetike të synuara. Përdoruesve u kërkohet të mbajnë softuer të përditësuar, të tregojnë kujdes me lidhjet e pakërkuara dhe të qëndrojnë vigjilentë ndaj përpjekjeve të phishing. Ndërsa aktorët e kërcënimit përsosin taktikat e tyre, masat proaktive të sigurisë kibernetike mbeten linja e parë e mbrojtjes kundër kërcënimeve në zhvillim si Minotauri i Tokës.

Në trend

Më e shikuara

Po ngarkohet...