ใบเสนอราคาส่วนลดใบอนุญาตหลายใบ
ฐานข้อมูลภัยคุกคาม ประตูหลัง DarkNimbus Backdoor

DarkNimbus Backdoor

โดย Mezo ใน ประตูหลัง, ภัยคุกคามขั้นสูงที่คงอยู่ (APT), มัลแวร์บนมือถือ
แปลเป็น:
ภาษาไทย

กลุ่มภัยคุกคามที่ไม่เคยระบุตัวตนมาก่อน ซึ่งปัจจุบันได้รับการกำหนดให้เป็น Earth Minotaur ได้ปรากฏตัวขึ้นและมีบทบาทสำคัญในการเฝ้าระวังทางไซเบอร์ โดยใช้เครื่องมือที่ซับซ้อน เช่น ชุดช่องโหว่ MOONSHINE และแบ็คดอร์ที่เพิ่งระบุตัวตนได้ใหม่ที่เรียกว่า DarkNimbus Earth Minotaur ได้แสดงให้เห็นถึงความสามารถในการกำหนดเป้าหมายทั้งอุปกรณ์ Android และ Windows ในความพยายามที่คำนวณมาแล้วเพื่อแทรกซึมและเฝ้าติดตามชุมชนชาวทิเบตและอุยกูร์

ชุด MOONSHINE Exploit: เกตเวย์สำหรับภัยคุกคามข้ามแพลตฟอร์ม

ปฏิบัติการของมิโนทอร์บนโลกคือชุดโจมตี MOONSHINE ชุดดังกล่าวได้รับการบันทึกไว้ครั้งแรกในปี 2019 ในระหว่างการโจมตีทางไซเบอร์ต่อเป้าหมายชาวทิเบต โดยชุดโจมตี MOONSHINE ใช้ประโยชน์จากช่องโหว่ในเบราว์เซอร์และแอปพลิเคชันที่ใช้ Chromium เพื่อส่งมอบเพย์โหลด ตั้งแต่นั้นมา MOONSHINE ก็ได้พัฒนาโดยเพิ่มช่องโหว่เพิ่มเติม เช่น CVE-2020-6418 ซึ่งเป็นข้อบกพร่องในเอ็นจิ้น JavaScript V8 ที่ Google แพตช์เมื่อต้นปี 2020

ชุดโจมตีนี้มีความคล่องตัวสูง โดยจะกำหนดเป้าหมายไปที่แอปพลิเคชัน เช่น Google Chrome, WeChat, QQ และ LINE และออกแบบมาเพื่อแทรกซึมเข้าไปในอุปกรณ์ของเหยื่อผ่านลิงก์ที่เสียหาย ลิงก์เหล่านี้มักถูกปลอมแปลงเป็นเนื้อหาที่ไม่เป็นอันตราย เช่น ประกาศหรือมัลติมีเดียที่เกี่ยวข้องกับชุมชนชาวทิเบตและอุยกูร์ เพื่อเพิ่มประสิทธิภาพสูงสุดของกลวิธีทางวิศวกรรมสังคม

DarkNimbus: แบ็คดอร์ที่มีความหลากหลายและรบกวน

เมื่อ MOONSHINE สามารถเข้าถึงอุปกรณ์ได้ ก็จะส่งแบ็คดอร์ DarkNimbus ซึ่งเป็นเครื่องมือที่ออกแบบมาโดยเฉพาะสำหรับการเฝ้าระวังในระยะยาว

DarkNimbus บน Android

DarkNimbus เวอร์ชัน Android นั้นมีการแทรกแซงในระดับสูงมาก โดยใช้ประโยชน์จากโปรโตคอล XMPP เพื่อสื่อสารกับผู้ให้บริการ นอกจากนี้ยังติดตั้งอุปกรณ์เพื่อขโมยข้อมูลที่ละเอียดอ่อนได้ เช่น:

  • เมตาดาต้าของอุปกรณ์
  • ข้อมูลตำแหน่งทางภูมิศาสตร์
  • ประวัติการโทร
  • รายชื่อติดต่อและข้อความ
  • บุ๊กมาร์กเบราว์เซอร์และเนื้อหาคลิปบอร์ด

DarkNimbus ยังใช้ประโยชน์จากบริการการเข้าถึงของ Android เพื่อดักจับข้อความจากแอปพลิเคชันการสื่อสารยอดนิยม เช่น WhatsApp, WeChat และ Skype นอกจากนี้ DarkNimbus ยังสามารถดำเนินการคำสั่งเชลล์ บันทึกการโทร จับภาพหน้าจอ และแม้แต่ถอนการติดตั้งตัวเองเพื่อหลีกเลี่ยงการตรวจจับได้อีกด้วย

DarkNimbus บน Windows

แม้ว่าจะมีคุณสมบัติน้อยกว่า แต่เวอร์ชัน Windows ยังคงเป็นเครื่องมือที่มีประสิทธิภาพในการขโมยข้อมูล โดยเริ่มใช้งานตั้งแต่ปลายปี 2020 โดยสามารถรวบรวมข้อมูลระบบ การกดแป้นพิมพ์ ข้อมูลคลิปบอร์ด ข้อมูลรับรองที่บันทึกไว้ และประวัติเบราว์เซอร์

วิศวกรรมทางสังคมและห่วงโซ่การใช้ประโยชน์: กายวิภาคของการโจมตี

Minotaur แห่งโลกนั้นอาศัยกลวิธีทางสังคมอย่างมากในการล่อเหยื่อให้ติดกับดัก ลิงค์คุกคามที่ฝังอยู่ในแอปส่งข้อความโต้ตอบแบบทันทีจะนำเหยื่อไปยังเซิร์ฟเวอร์โจมตี MOONSHINE หนึ่งในกว่า 55 เซิร์ฟเวอร์ เซิร์ฟเวอร์เหล่านี้ใช้กลยุทธ์ต่างๆ ตามอุปกรณ์และการกำหนดค่าเบราว์เซอร์ของเหยื่อ:

  • การดำเนินการใช้ประโยชน์ : หากพบช่องโหว่ เซิร์ฟเวอร์จะติดตั้งแบ็คดอร์ DarkNimbus
  • การเปลี่ยนเส้นทางการฟิชชิ่ง : หากการโจมตีล้มเหลว ผู้ที่ตกเป็นเหยื่ออาจพบกับหน้าฟิชชิ่งที่แนะนำให้อัปเดตเบราว์เซอร์ ซึ่งอาจนำไปสู่การเข้าถึงข้อมูลที่ไม่ถูกต้องเพิ่มเติมได้

ในบางกรณี การโจมตีเกี่ยวข้องกับการลดระดับกลไกเบราว์เซอร์ในแอปพลิเคชัน เช่น WeChat และแทนที่ด้วยเวอร์ชันโทรจันซึ่งช่วยให้เข้าถึงได้อย่างต่อเนื่อง

การเข้าถึงทั่วโลกของมิโนทอร์แห่งโลก

กิจกรรมของกลุ่มไม่ได้จำกัดอยู่เพียงในทางภูมิศาสตร์เท่านั้น เหยื่อได้ถูกระบุตัวตนใน 18 ประเทศ รวมทั้งสหรัฐอเมริกา แคนาดา อินเดีย เยอรมนี และไต้หวัน ซึ่งเน้นย้ำถึงขอบเขตการดำเนินงานทั่วโลกของกลุ่ม

ในขณะที่ MOONSHINE มีส่วนเกี่ยวข้องกับกลุ่มคุกคามอื่นๆ เช่น POISON CARP และ Earth Empusa แต่ Earth Minotaur ดำเนินการอย่างอิสระ กลุ่มนี้มุ่งเน้นไปที่ชุมชนชาวทิเบตและอุยกูร์ ซึ่งสอดคล้องกับแคมเปญที่คล้ายกันของศัตรู เช่น Evasive Panda และ Scarlet Mimic อย่างไรก็ตาม Earth Minotaur โดดเด่นด้วยการใช้เครื่องมือที่ปรับเปลี่ยนได้สูงและห่วงโซ่การติดเชื้อที่ซับซ้อน

วิวัฒนาการอย่างต่อเนื่องของ MOONSHINE

MOONSHINE ยังคงเป็นชุดเครื่องมือที่อยู่ระหว่างการพัฒนาอย่างต่อเนื่อง และถูกใช้ร่วมกันกับผู้ก่อภัยคุกคามหลายราย รวมถึง UNC5221 และ Earth Minotaur การปรับปรุงอย่างต่อเนื่องนี้เน้นย้ำถึงการคงอยู่ของศัตรูที่โจมตีชุมชนที่เปราะบาง

ความคิดสุดท้าย: การรับรู้และบรรเทาภัยคุกคาม

Earth Minotaur เป็นตัวอย่างการโจมตีทางไซเบอร์ที่มีความซับซ้อนมากขึ้น ผู้ใช้ควรอัปเดตซอฟต์แวร์อยู่เสมอ ใช้ความระมัดระวังในการลิงก์ที่ไม่ต้องการ และเฝ้าระวังการพยายามฟิชชิ่ง ในขณะที่ผู้ก่อภัยคุกคามปรับปรุงกลยุทธ์ของตน มาตรการป้องกันความปลอดภัยทางไซเบอร์เชิงรุกยังคงเป็นแนวป้องกันด่านแรกในการรับมือกับภัยคุกคามที่เปลี่ยนแปลงไป เช่น Earth Minotaur

มาแรง

Program:Win32/Wacapew.C!ml

มัลแวร์, ทรอยจัน
การปกป้องอุปกรณ์ของคุณไม่เคยมีความสำคัญเท่านี้มาก่อน ทรอยจันซึ่งเป็นซอฟต์แวร์คุกคามรูปแบบหนึ่งที่แพร่หลาย มักปลอมตัวเป็นแอปพลิเคชันที่ไม่เป็นอันตราย...

อูวี แอปพ์

โปรแกรมที่อาจไม่เป็นที่ต้องการ, แอดแวร์, แฮกเกอร์เบราว์เซอร์
ในโลกดิจิทัลที่เชื่อมต่อถึงกันในปัจจุบัน การปกป้องอุปกรณ์จากโปรแกรมที่บุกรุกและไม่น่าเชื่อถือถือเป็นสิ่งสำคัญยิ่งกว่าที่เคย โปรแกรมที่อาจไม่พึงประสงค์ (PUP) เช่น ส่วนขยายเบราว์เซอร์ Oovi Appc...

เข้าชมมากที่สุด

ป๊อปอัป "iPhone ของคุณถูกแฮ็ก"

แอดแวร์
34,127
เนื่องจากเทคโนโลยีถูกรวมเข้ากับชีวิตประจำวันของเราอย่างมาก อาชญากรไซเบอร์จึงค้นหาวิธีใหม่ๆ ในการใช้ประโยชน์จากช่องโหว่ด้วยเจตนาร้าย การหลอกลวงที่พบบ่อยอย่างหนึ่งที่ผู้ใช้ iPhone...
'Geek Squad' อีเมลหลอกลวง สกรีนช็อต

'Geek Squad' อีเมลหลอกลวง

ฟิชชิ่ง, สแปม
32,911
Geek Squad ผู้ให้บริการสนับสนุนด้านเทคนิคยอดนิยม ได้กลายเป็นเหยื่อของกลโกงฟิชชิ่งที่เรียกว่า Geek Squad Email Scam กลโกงการสนับสนุนทางเทคนิคนี้ใช้อีเมลปลอมที่หลอกลวงให้ผู้คนเปิดเผยข้อมูลส่วนบุคคล...

'หากคุณอายุ 18 ปี แตะอนุญาต' ป๊อปอัป

ข้อความเตือนปลอม
26,636
ป๊อปอัป 'หากคุณอายุ 18 ปี แตะอนุญาต' เป็นโฆษณาป๊อปอัปประเภทหนึ่งที่ปรากฏบนหน้าจอของผู้ใช้เมื่อเรียกดูอินเทอร์เน็ต ป๊อปอัปเหล่านี้สามารถสร้างความตื่นตระหนกให้กับผู้ใช้ได้พอสมควร เนื่องจากพวกเขากระตุ้นให้พวกเขาคลิกที่ปุ่ม "อนุญาต" เพื่อใช้เว็บไซต์ที่กำลังเปิดอยู่ต่อไป ป๊อปอัปเหล่านี้เชื่อมโยงกับโปรแกรมที่ไม่พึงประสงค์ เช่น แอดแวร์ ซึ่งอาจทำให้เกิดปัญหาที่สำคัญสำหรับผู้ใช้ ป๊อปอัป...
กำลังโหลด...