Знижка на кілька ліцензій
База даних загроз Backdoors Бекдор DarkNimbus

Бекдор DarkNimbus

До Mezo року в Backdoors, Розширена постійна загроза (APT), Мобільні шкідливі програми році
Перекласти на:
Українська

Раніше неідентифікована група загроз, яка тепер називається Earth Minotaur, виявилася важливим гравцем у кіберспостереженні. Використовуючи такі складні інструменти, як набір експлойтів MOONSHINE і нещодавно виявлений бекдор під назвою DarkNimbus, Earth Minotaur продемонстрував свою здатність націлюватися як на пристрої Android, так і на Windows, намагаючись проникнути в тибетські та уйгурські громади та стежити за ними.

Набір експлойтів MOONSHINE: шлюз для міжплатформних загроз

Центральне місце в діяльності Earth Minotaur займає набір експлойтів MOONSHINE. Спочатку задокументований у 2019 році під час кібератак на тибетські цілі, MOONSHINE використовує вразливості в браузерах і програмах на базі Chromium для доставки своїх корисних навантажень. З тих пір він розвивався, включаючи додаткові вразливості, такі як CVE-2020-6418, недолік у двигуні V8 JavaScript, виправлений Google на початку 2020 року.

Експлойт-кіт надзвичайно універсальний. Він націлений на такі програми, як Google Chrome, WeChat, QQ і LINE, і призначений для проникнення на пристрої жертв через пошкоджені посилання. Ці посилання часто маскуються під доброякісний вміст, такий як оголошення чи мультимедіа, пов’язані з тибетськими та уйгурськими спільнотами, щоб максимально підвищити ефективність тактики соціальної інженерії.

DarkNimbus: універсальний і настирливий бекдор

Щойно MOONSHINE отримує доступ до пристрою, він надає бекдор DarkNimbus, інструмент, спеціально розроблений для тривалого спостереження.

DarkNimbus на Android

Android-варіант DarkNimbus надзвичайно інтрузивний, він використовує протокол XMPP для зв’язку зі своїми операторами. Він обладнаний для вилучення конфіденційних даних, зокрема:

  • Метадані пристрою
  • Геолокаційні дані
  • Історія викликів
  • Контакти та повідомлення
  • Закладки веб-переглядача та вміст буфера обміну

DarkNimbus також використовує служби доступності Android для перехоплення повідомлень із популярних комунікаційних програм, таких як WhatsApp, WeChat і Skype. Крім того, він може виконувати команди оболонки, записувати виклики, робити знімки екрана та навіть видаляти себе, щоб уникнути виявлення.

DarkNimbus у Windows

Незважаючи на меншу кількість функцій, версія для Windows залишається потужним інструментом для викрадання даних. Активний з кінця 2020 року, він може фіксувати системну інформацію, натискання клавіш, дані буфера обміну, збережені облікові дані та історію веб-переглядача.

Соціальна інженерія та ланцюги експлойтів: анатомія атаки

Земний Мінотавр значною мірою покладається на соціальну інженерію, щоб заманити жертв у свою пастку. Погрозливі посилання, вбудовані в програми обміну миттєвими повідомленнями, перенаправляють жертв на один із понад 55 серверів експлойтів MOONSHINE. Ці сервери розгортають різні стратегії на основі пристрою жертви та конфігурації браузера:

  • Виконання експлойтів : якщо виявлено вразливості, сервер встановлює бекдор DarkNimbus.
  • Перенаправлення фішингу : якщо експлойти не вдаються, жертви можуть натрапити на фішингові сторінки, які закликають їх оновити свої веб-переглядачі, що може призвести до подальших компрометацій.

У деяких випадках атака передбачає зниження версії движка веб-переглядача в таких програмах, як WeChat, із заміною на троянізовану версію, яка полегшує постійний доступ.

Глобальне охоплення земного мінотавра

Діяльність групи не обмежена географічно. Жертв було ідентифіковано у 18 країнах, включаючи США, Канаду, Індію, Німеччину та Тайвань, що підкреслює глобальний масштаб його діяльності.

Хоча MOONSHINE асоціюється з іншими групами загроз, такими як POISON CARP і Earth Empusa, Earth Minotaur діє незалежно. Зосередженість групи на тибетських і уйгурських громадах узгоджується з подібними кампаніями супротивників, таких як Evasive Panda та Scarlet Mimic. Однак Земляний Мінотавр виділяється завдяки використанню інструментів, що добре адаптуються, і складних ланцюгів зараження.

Постійна еволюція MOONSHINE

MOONSHINE залишається набором інструментів, який активно розробляється, і ним користуються різні загрозливі особи, зокрема UNC5221 і Earth Minotaur. Його постійне вдосконалення підкреслює наполегливість супротивників, які націлюються на вразливі спільноти.

Останні думки: розпізнавання та пом’якшення загрози

Земний Мінотавр є прикладом зростаючої складності цілеспрямованих кібератак. Користувачів закликають підтримувати оновлення програмного забезпечення, бути обережними з небажаними посиланнями та бути пильними щодо спроб фішингу. Оскільки суб’єкти загроз удосконалюють свою тактику, профілактичні заходи кібербезпеки залишаються першою лінією захисту від нових загроз, таких як Мінотавр Землі.

В тренді

Oovi Appc

Потенційно небажані програми, рекламне ПЗ, Викрадачі браузера
У сучасному взаємопов’язаному цифровому світі захист пристроїв від нав’язливих і ненадійних програм надзвичайно важливий, ніж будь-коли. Потенційно небажані програми (PUP), такі як розширення...

WolfsBane Backdoor

Шкідливе програмне забезпечення, Розширена постійна загроза (APT), Backdoors
Групу Gelsemium, пов’язану з Китаєм, пов’язану з бекдором Linux під назвою WolfsBane. Повідомляється, що цей інструмент використовується в кіберопераціях, імовірно спрямованих на Східну та...

Найбільше переглянуті

Спливаючі вікна «Якщо вам 18, торкніться дозволу».

Підроблені попереджувальні повідомлення
26,636
Спливаючі вікна «Якщо вам 18, торкніться дозволу» — це тип спливаючої реклами, яка з’являється на екрані користувача під час перегляду веб-сторінок. Ці спливаючі вікна можуть насторожити користувачів, оскільки вони спонукають їх натиснути кнопку «Дозволити», щоб продовжити використання веб-сайту, на якому вони зараз перебувають. Ці спливаючі вікна пов’язані з такими небажаними програмами, як...
Завантаження...