Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Arka kapılar DarkNimbus Arka Kapısı

DarkNimbus Arka Kapısı

Mezo'de Arka kapılar, Gelişmiş Sürekli Tehdit (APT), Mobil Kötü Amaçlı Yazılım'de
Çevir:
Türkçe

Daha önce tanımlanmamış bir tehdit grubu, şimdi Earth Minotaur olarak adlandırılıyor, siber gözetimde önemli bir oyuncu olarak ortaya çıktı. MOONSHINE istismar kiti ve DarkNimbus adlı yeni tanımlanmış bir arka kapı gibi gelişmiş araçlar kullanan Earth Minotaur, Tibet ve Uygur topluluklarına sızmak ve onları izlemek için hesaplı bir çabayla hem Android hem de Windows cihazlarını hedef alma yeteneğini gösterdi.

MOONSHINE Exploit Kiti: Platformlar Arası Tehditler İçin Bir Geçit

Earth Minotaur'un operasyonlarının merkezinde MOONSHINE exploit kiti yer alır. İlk olarak 2019'da Tibet hedeflerine yönelik siber saldırılar sırasında belgelenen MOONSHINE, yüklerini iletmek için Chromium tabanlı tarayıcılardaki ve uygulamalardaki güvenlik açıklarını kullanır. O zamandan beri, Google tarafından 2020'nin başlarında düzeltilen V8 JavaScript motorundaki bir kusur olan CVE-2020-6418 gibi ek güvenlik açıklarını da içerecek şekilde gelişmiştir.

Exploit kiti özellikle çok yönlüdür. Google Chrome, WeChat, QQ ve LINE gibi uygulamaları hedef alır ve bozuk bağlantılar aracılığıyla kurbanların cihazlarına sızmak üzere tasarlanmıştır. Bu bağlantılar genellikle Tibet ve Uygur topluluklarıyla ilgili duyurular veya multimedya gibi zararsız içerikler olarak gizlenir ve sosyal mühendislik taktiklerinin etkinliğini en üst düzeye çıkarır.

DarkNimbus: Çok Yönlü ve Müdahaleci Bir Arka Kapı

MOONSHINE bir cihaza erişim sağladığında, uzun vadeli gözetim için özel olarak tasarlanmış bir araç olan DarkNimbus arka kapısını açar.

Android’de DarkNimbus

DarkNimbus'un Android versiyonu, operatörleriyle iletişim kurmak için XMPP protokolünü kullanarak olağanüstü derecede müdahalecidir. Hassas verileri sızdırmak için donatılmıştır, bunlar arasında şunlar bulunur:

  • Cihaz meta verileri
  • Coğrafi konum verileri
  • Çağrı geçmişi
  • İletişim ve mesajlar
  • Tarayıcı yer imleri ve pano içeriği

DarkNimbus ayrıca WhatsApp, WeChat ve Skype gibi popüler iletişim uygulamalarından gelen mesajları ele geçirmek için Android'in erişilebilirlik hizmetlerini de kullanır. Ek olarak, kabuk komutlarını çalıştırabilir, aramaları kaydedebilir, ekran görüntüleri yakalayabilir ve hatta tespit edilmekten kaçınmak için kendini kaldırabilir.

Windows’ta DarkNimbus

Daha az özellik zengini olmasına rağmen, Windows sürümü veri sızdırma için güçlü bir araç olmaya devam ediyor. 2020'nin sonlarından beri aktif olan bu sürüm, sistem bilgilerini, tuş vuruşlarını, pano verilerini, kaydedilmiş kimlik bilgilerini ve tarayıcı geçmişini yakalayabilir.

Sosyal Mühendislik ve Saldırı Zincirleri: Bir Saldırının Anatomisi

Earth Minotaur, kurbanlarını tuzağına çekmek için sosyal mühendisliğe büyük ölçüde güvenir. Anlık mesajlaşma uygulamalarına yerleştirilen tehdit edici bağlantılar, kurbanları 55'ten fazla MOONSHINE istismar sunucusundan birine yönlendirir. Bu sunucular, kurbanın cihaz ve tarayıcı yapılandırmasına göre çeşitli stratejiler uygular:

  • Exploit Uygulaması : Eğer güvenlik açıkları tespit edilirse, sunucu DarkNimbus arka kapısını kurar.
  • Kimlik Avı Yönlendirmesi : Saldırılar başarısız olursa, kurbanlar tarayıcılarını güncellemeleri yönünde uyarıda bulunan kimlik avı sayfalarıyla karşılaşabilir ve bu da daha fazla tehlikeye yol açabilir.

Bazı durumlarda saldırı, WeChat gibi uygulamalardaki tarayıcı motorunun düşürülmesini ve bunun yerine kalıcı erişimi kolaylaştıran truva atı sürümüyle değiştirilmesini içeriyor.

Earth Minotaur’un Küresel Erişimi

Grubun faaliyetleri coğrafi olarak sınırlı değil. ABD, Kanada, Hindistan, Almanya ve Tayvan da dahil olmak üzere 18 ülkede mağdurlar tespit edildi ve bu da operasyonlarının küresel kapsamını vurguluyor.

MOONSHINE, POISON CARP ve Earth Empusa gibi diğer tehdit gruplarıyla ilişkilendirilirken, Earth Minotaur bağımsız olarak faaliyet göstermektedir. Grubun Tibet ve Uygur topluluklarına odaklanması, Evasive Panda ve Scarlet Mimic gibi rakiplerin benzer kampanyalarıyla örtüşmektedir. Ancak Earth Minotaur, son derece uyarlanabilir araçlar ve karmaşık enfeksiyon zincirleri kullanımıyla öne çıkmaktadır.

MOONSHINE’ın Devam Eden Evrimi

MOONSHINE, aktif olarak geliştirilmekte olan bir araç takımı olmaya devam ediyor ve UNC5221 ve Earth Minotaur dahil olmak üzere çeşitli tehdit aktörleri arasında paylaşılıyor. Sürekli iyileştirmesi, savunmasız toplulukları hedef alan düşmanların sürekliliğini vurguluyor.

Son Düşünceler: Tehditleri Tanıma ve Azaltma

Earth Minotaur, hedefli siber saldırıların artan karmaşıklığına örnek teşkil ediyor. Kullanıcılar güncel yazılımları sürdürmeye, istenmeyen bağlantılara karşı dikkatli olmaya ve kimlik avı girişimlerine karşı uyanık olmaya teşvik ediliyor. Tehdit aktörleri taktiklerini geliştirirken, proaktif siber güvenlik önlemleri Earth Minotaur gibi gelişen tehditlere karşı ilk savunma hattı olmaya devam ediyor.

trend

En çok görüntülenen

Yükleniyor...