Rabattoffert för flera licenser
Hotdatabas Bakdörrar DarkNimbus Bakdörr

DarkNimbus Bakdörr

Med Mezo år Bakdörrar, Advanced Persistent Threat (APT), Mobil skadlig programvara
Översätt till:
Svenska

En tidigare oidentifierad hotgrupp, nu kallad Earth Minotaur, har dykt upp som en betydande aktör inom cyberövervakning. Med hjälp av sofistikerade verktyg som MOONSHINE-exploateringssatsen och en nyligen identifierad bakdörr som heter DarkNimbus, har Earth Minotaur visat sin förmåga att rikta in sig på både Android- och Windows-enheter i ett kalkylerat försök att infiltrera och övervaka de tibetanska och uiguriska samhällena.

MOONSHINE Exploit Kit: A Gateway för Cross-Platform Threats

Centralt för Earth Minotaurs verksamhet är MOONSHINE exploateringssatsen. MOONSHINE, som ursprungligen dokumenterades 2019 under cyberattacker mot tibetanska mål, utnyttjar sårbarheter i Chromium-baserade webbläsare och applikationer för att leverera sina nyttolaster. Den har sedan dess utvecklats och har införlivat ytterligare sårbarheter som CVE-2020-6418, ett fel i V8 JavaScript-motorn som korrigerades av Google i början av 2020.

Exploatsatsen är särskilt mångsidig. Den riktar sig till applikationer som Google Chrome, WeChat, QQ och LINE och är utformad för att infiltrera offrens enheter genom korrupta länkar. Dessa länkar är ofta förklädda som godartade innehåll, som tillkännagivanden eller multimedia relaterade till de tibetanska och uiguriska samhällena, för att maximera effektiviteten av social ingenjörstaktik.

DarkNimbus: En mångsidig och påträngande bakdörr

När MOONSHINE får tillgång till en enhet, levererar den DarkNimbus-bakdörren, ett verktyg speciellt framtaget för långtidsövervakning.

DarkNimbus på Android

Android-varianten av DarkNimbus är exceptionellt påträngande och utnyttjar XMPP-protokollet för att kommunicera med sina operatörer. Den är utrustad för att exfiltrera känslig data, inklusive:

  • Enhetsmetadata
  • Geolokaliseringsdata
  • Samtalshistorik
  • Kontakter och meddelanden
  • Webbläsarbokmärken och urklippsinnehåll

DarkNimbus utnyttjar även Androids tillgänglighetstjänster för att fånga upp meddelanden från populära kommunikationsapplikationer som WhatsApp, WeChat och Skype. Dessutom kan den köra skalkommandon, spela in samtal, ta skärmdumpar och till och med avinstallera sig själv för att undvika upptäckt.

DarkNimbus på Windows

Även om den är mindre funktionsrik, är Windows-versionen fortfarande ett kraftfullt verktyg för dataexfiltrering. Aktiv sedan slutet av 2020, den kan fånga systeminformation, tangenttryckningar, urklippsdata, sparade referenser och webbläsarhistorik.

Social Engineering and Exploit Chains: The Anatomy of an Attack

Earth Minotaur är starkt beroende av social ingenjörskonst för att locka offren i sin fälla. Hotande länkar inbäddade i appar för snabbmeddelanden omdirigerar offer till en av över 55 MOONSHINE-exploateringsservrar. Dessa servrar distribuerar olika strategier baserat på offrets enhet och webbläsarkonfiguration:

  • Utnyttja exekvering : Om sårbarheter identifieras installerar servern DarkNimbus-bakdörren.
  • Omdirigering av nätfiske : Om utnyttjandet misslyckas kan offren stöta på nätfiskesidor som uppmanar dem att uppdatera sina webbläsare, vilket kan leda till ytterligare kompromisser.

I vissa fall innebär attacken att nedgradera webbläsarmotorn i applikationer som WeChat, ersätta den med en trojaniserad version som underlättar beständig åtkomst.

Earth Minotaurs globala räckvidd

Koncernens verksamhet är inte geografiskt begränsad. Offren har identifierats i 18 länder, inklusive USA, Kanada, Indien, Tyskland och Taiwan, vilket lyfter fram den globala omfattningen av dess verksamhet.

Medan MOONSHINE har associerats med andra hotgrupper som POISON CARP och Earth Empusa, verkar Earth Minotaur självständigt. Gruppens fokus på tibetanska och uiguriska samhällen är i linje med liknande kampanjer av motståndare som Evasive Panda och Scarlet Mimic. Men Earth Minotaur utmärker sig för sin användning av mycket anpassningsbara verktyg och sofistikerade infektionskedjor.

Den pågående utvecklingen av MOONSHINE

MOONSHINE förblir en verktygslåda under aktiv utveckling och delas av olika hotaktörer, inklusive UNC5221 och Earth Minotaur. Dess fortsatta förfining understryker motståndarnas uthållighet som riktar sig mot utsatta samhällen.

Sista tankar: Erkänna och mildra hotet

Earth Minotaur exemplifierar den växande komplexiteten av riktade cyberattacker. Användare uppmanas att underhålla uppdaterad programvara, vara försiktig med oönskade länkar och vara vaksamma mot nätfiskeförsök. När hotaktörer förfinar sin taktik förblir proaktiva cybersäkerhetsåtgärder den första försvarslinjen mot föränderliga hot som Earth Minotaur.

Trendigt

Mest sedda

Läser in...