DarkNimbus Backdoor

Một nhóm đe dọa chưa được xác định trước đây, hiện được gọi là Earth Minotaur, đã nổi lên như một nhân tố quan trọng trong hoạt động giám sát mạng. Sử dụng các công cụ tinh vi như bộ công cụ khai thác MOONSHINE và một cửa hậu mới được xác định có tên là DarkNimbus, Earth Minotaur đã chứng minh khả năng nhắm mục tiêu vào cả thiết bị Android và Windows trong nỗ lực được tính toán để xâm nhập và giám sát cộng đồng người Tây Tạng và Duy Ngô Nhĩ.

Bộ công cụ khai thác MOONSHINE: Cổng vào các mối đe dọa đa nền tảng

Trung tâm của hoạt động của Earth Minotaur là bộ công cụ khai thác MOONSHINE. Được ghi chép ban đầu vào năm 2019 trong các cuộc tấn công mạng vào các mục tiêu Tây Tạng, MOONSHINE khai thác các lỗ hổng trong các trình duyệt và ứng dụng dựa trên Chromium để phân phối các tải trọng của nó. Kể từ đó, nó đã phát triển, kết hợp thêm các lỗ hổng như CVE-2020-6418, một lỗ hổng trong công cụ JavaScript V8 đã được Google vá vào đầu năm 2020.

Bộ công cụ khai thác này đặc biệt linh hoạt. Nó nhắm vào các ứng dụng như Google Chrome, WeChat, QQ và LINE và được thiết kế để xâm nhập vào thiết bị của nạn nhân thông qua các liên kết bị hỏng. Các liên kết này thường được ngụy trang dưới dạng nội dung lành tính, chẳng hạn như thông báo hoặc nội dung đa phương tiện liên quan đến cộng đồng người Tây Tạng và Duy Ngô Nhĩ, để tối đa hóa hiệu quả của các chiến thuật kỹ thuật xã hội.

DarkNimbus: Một Backdoor đa năng và xâm nhập

Khi MOONSHINE truy cập được vào thiết bị, nó sẽ cung cấp cửa hậu DarkNimbus, một công cụ được thiết kế riêng để giám sát lâu dài.

DarkNimbus trên Android

Biến thể Android của DarkNimbus có tính xâm nhập đặc biệt, tận dụng giao thức XMPP để giao tiếp với người điều hành. Nó được trang bị để đánh cắp dữ liệu nhạy cảm, bao gồm:

• Siêu dữ liệu thiết bị
• Dữ liệu định vị địa lý
• Lịch sử cuộc gọi
• Danh bạ và tin nhắn
• Dấu trang trình duyệt và nội dung clipboard

DarkNimbus cũng khai thác các dịch vụ trợ năng của Android để chặn tin nhắn từ các ứng dụng giao tiếp phổ biến như WhatsApp, WeChat và Skype. Ngoài ra, nó có thể thực thi lệnh shell, ghi lại cuộc gọi, chụp ảnh màn hình và thậm chí gỡ cài đặt chính nó để tránh bị phát hiện.

DarkNimbus trên Windows

Mặc dù ít tính năng hơn, phiên bản Windows vẫn là một công cụ mạnh mẽ để trích xuất dữ liệu. Hoạt động từ cuối năm 2020, nó có thể thu thập thông tin hệ thống, các lần nhấn phím, dữ liệu clipboard, thông tin đăng nhập đã lưu và lịch sử trình duyệt.

Kỹ thuật xã hội và chuỗi khai thác: Giải phẫu của một cuộc tấn công

Earth Minotaur dựa rất nhiều vào kỹ thuật xã hội để dụ nạn nhân vào bẫy của nó. Các liên kết đe dọa được nhúng trong các ứng dụng nhắn tin tức thời sẽ chuyển hướng nạn nhân đến một trong hơn 55 máy chủ khai thác MOONSHINE. Các máy chủ này triển khai nhiều chiến lược khác nhau dựa trên cấu hình thiết bị và trình duyệt của nạn nhân:

• Thực hiện khai thác : Nếu phát hiện ra lỗ hổng, máy chủ sẽ cài đặt cửa hậu DarkNimbus.
• Chuyển hướng lừa đảo : Nếu khai thác không thành công, nạn nhân có thể gặp phải các trang lừa đảo yêu cầu họ cập nhật trình duyệt, điều này có thể dẫn đến xâm phạm nghiêm trọng hơn.

Trong một số trường hợp, cuộc tấn công bao gồm việc hạ cấp công cụ trình duyệt trong các ứng dụng như WeChat, thay thế bằng phiên bản trojan giúp truy cập liên tục.

Tầm ảnh hưởng toàn cầu của Earth Minotaur

Hoạt động của nhóm không bị giới hạn về mặt địa lý. Các nạn nhân đã được xác định ở 18 quốc gia, bao gồm Hoa Kỳ, Canada, Ấn Độ, Đức và Đài Loan, làm nổi bật phạm vi hoạt động toàn cầu của nhóm.

Trong khi MOONSHINE đã liên kết với các nhóm đe dọa khác như POISON CARP và Earth Empusa, Earth Minotaur hoạt động độc lập. Trọng tâm của nhóm này là cộng đồng người Tây Tạng và Duy Ngô Nhĩ phù hợp với các chiến dịch tương tự của các đối thủ như Evasive Panda và Scarlet Mimic. Tuy nhiên, Earth Minotaur nổi bật vì sử dụng các công cụ có khả năng thích ứng cao và chuỗi lây nhiễm tinh vi.

Sự phát triển liên tục của MOONSHINE

MOONSHINE vẫn là một bộ công cụ đang được phát triển tích cực và được chia sẻ giữa nhiều tác nhân đe dọa khác nhau, bao gồm UNC5221 và Earth Minotaur. Việc liên tục cải tiến của nó nhấn mạnh sự dai dẳng của những kẻ thù nhắm vào các cộng đồng dễ bị tổn thương.

Suy nghĩ cuối cùng: Nhận biết và giảm thiểu mối đe dọa

Earth Minotaur là ví dụ điển hình cho sự phức tạp ngày càng tăng của các cuộc tấn công mạng có mục tiêu. Người dùng được khuyến cáo duy trì phần mềm được cập nhật, thận trọng với các liên kết không mong muốn và luôn cảnh giác với các nỗ lực lừa đảo. Khi các tác nhân đe dọa tinh chỉnh chiến thuật của mình, các biện pháp an ninh mạng chủ động vẫn là tuyến phòng thủ đầu tiên chống lại các mối đe dọa đang phát triển như Earth Minotaur.