DarkNimbus Backdoor
Ang isang dating hindi natukoy na grupo ng pagbabanta, na ngayon ay itinalagang Earth Minotaur, ay lumitaw bilang isang mahalagang manlalaro sa cyber surveillance. Gamit ang mga sopistikadong tool tulad ng MOONSHINE exploit kit at isang bagong natukoy na backdoor na tinatawag na DarkNimbus, ipinakita ng Earth Minotaur ang kakayahan nitong i-target ang parehong mga Android at Windows device sa isang kalkuladong pagsisikap na makalusot at masubaybayan ang mga komunidad ng Tibet at Uyghur.
Talaan ng mga Nilalaman
Ang MOONSHINE Exploit Kit: Isang Gateway para sa Cross-Platform Threats
Ang sentro ng operasyon ng Earth Minotaur ay ang MOONSHINE exploit kit. Orihinal na naidokumento noong 2019 sa panahon ng mga cyberattack sa mga Tibetan target, sinasamantala ng MOONSHINE ang mga kahinaan sa mga browser at application na nakabatay sa Chromium upang maihatid ang mga payload nito. Mula noon ay umunlad ito, na nagsasama ng mga karagdagang kahinaan gaya ng CVE-2020-6418, isang depekto sa V8 JavaScript engine na na-patch ng Google noong unang bahagi ng 2020.
Ang exploit kit ay kapansin-pansing maraming nalalaman. Tina-target nito ang mga application tulad ng Google Chrome, WeChat, QQ, at LINE at idinisenyo upang makalusot sa mga device ng mga biktima sa pamamagitan ng mga sirang link. Ang mga link na ito ay madalas na nakakubli bilang benign na nilalaman, tulad ng mga anunsyo o multimedia na nauugnay sa mga komunidad ng Tibet at Uyghur, upang mapakinabangan ang pagiging epektibo ng mga taktika sa social engineering.
DarkNimbus: Isang Maraming Gamit at Mapanghimasok na Backdoor
Sa sandaling magkaroon ng access ang MOONSHINE sa isang device, inihahatid nito ang DarkNimbus backdoor, isang tool na partikular na ginawa para sa pangmatagalang pagsubaybay.
DarkNimbus sa Android
Ang variant ng Android ng DarkNimbus ay pambihirang mapanghimasok, na ginagamit ang XMPP protocol upang makipag-ugnayan sa mga operator nito. Nilagyan ito upang i-exfiltrate ang sensitibong data, kabilang ang:
- Metadata ng device
- Data ng geolocation
- History ng tawag
- Mga contact at mensahe
- Mga bookmark ng browser at nilalaman ng clipboard
Pinagsasamantalahan din ng DarkNimbus ang mga serbisyo ng pagiging naa-access ng Android upang ma-intercept ang mga mensahe mula sa mga sikat na application ng komunikasyon tulad ng WhatsApp, WeChat at Skype. Bilang karagdagan, maaari itong magsagawa ng mga utos ng shell, mag-record ng mga tawag, kumuha ng mga screenshot at kahit na i-uninstall ang sarili nito upang maiwasan ang pagtuklas.
DarkNimbus sa Windows
Bagama't hindi gaanong mayaman sa tampok, ang bersyon ng Windows ay nananatiling isang mabisang tool para sa pag-exfiltration ng data. Aktibo mula noong huling bahagi ng 2020, maaari nitong makuha ang impormasyon ng system, mga keystroke, data ng clipboard, mga naka-save na kredensyal, at kasaysayan ng browser.
Social Engineering at Exploit Chains: Ang Anatomy ng Isang Pag-atake
Ang Earth Minotaur ay lubos na umaasa sa social engineering upang maakit ang mga biktima sa bitag nito. Ang mga nagbabantang link na naka-embed sa instant messaging apps ay nagre-redirect ng mga biktima sa isa sa mahigit 55 MOONSHINE exploit server. Nag-deploy ang mga server na ito ng iba't ibang diskarte batay sa device at configuration ng browser ng biktima:
- Exploit Execution : Kung matukoy ang mga kahinaan, ini-install ng server ang DarkNimbus backdoor.
- Pag-redirect ng Phishing : Kung nabigo ang mga pagsasamantala, maaaring makatagpo ang mga biktima ng mga pahina ng phishing na humihimok sa kanila na i-update ang kanilang mga browser, na maaaring humantong sa mga karagdagang kompromiso.
Sa ilang mga kaso, ang pag-atake ay nagsasangkot ng pag-downgrade sa browser engine sa loob ng mga application tulad ng WeChat, na pinapalitan ito ng isang trojanized na bersyon na nagpapadali sa patuloy na pag-access.
Pandaigdigang Abot ng Earth Minotaur
Ang mga aktibidad ng grupo ay hindi limitado sa heograpiya. Natukoy ang mga biktima sa 18 bansa, kabilang ang US, Canada, India, Germany at Taiwan, na nagbibigay-diin sa pandaigdigang saklaw ng mga operasyon nito.
Habang ang MOONSHINE ay nauugnay sa iba pang mga grupo ng pagbabanta tulad ng POISON CARP at Earth Empusa, ang Earth Minotaur ay gumagana nang nakapag-iisa. Ang pagtuon ng grupo sa mga komunidad ng Tibetan at Uyghur ay naaayon sa mga katulad na kampanya ng mga kalaban gaya ng Evasive Panda at Scarlet Mimic. Gayunpaman, namumukod-tangi ang Earth Minotaur para sa paggamit nito ng mga tool na madaling ibagay at mga sopistikadong chain ng impeksyon.
Ang Patuloy na Ebolusyon ng MOONSHINE
Ang MOONSHINE ay nananatiling isang toolkit sa ilalim ng aktibong pag-unlad at ibinabahagi sa iba't ibang mga aktor ng pagbabanta, kabilang ang UNC5221 at Earth Minotaur. Ang patuloy na pagpipino nito ay binibigyang-diin ang pananatili ng mga kalaban na nagta-target sa mga mahihinang komunidad.
Pangwakas na Kaisipan: Pagkilala at Pagbabawas sa Banta
Ang Earth Minotaur ay nagpapakita ng lumalaking kumplikado ng mga naka-target na cyberattack. Hinihimok ang mga user na panatilihin ang na-update na software, mag-ingat sa mga hindi hinihinging link, at manatiling mapagbantay laban sa mga pagtatangka sa phishing. Habang pinipino ng mga banta ng aktor ang kanilang mga taktika, ang mga proactive na hakbang sa cybersecurity ay nananatiling unang linya ng depensa laban sa mga umuusbong na banta tulad ng Earth Minotaur.
