DarkNimbus後門
一個先前身份不明的威脅組織(現在被稱為地球牛頭怪)已成為網路監視的重要參與者。 Earth Minotaur 使用 MOONSHINE 漏洞利用工具包和新發現的名為 DarkNimbus 的後門等複雜工具,展示了其針對 Android 和 Windows 設備的能力,有計劃地滲透和監控藏族和維吾爾族社區。
目錄
MOONSHINE 漏洞利用工具包:跨平台威脅的網關
Earth Minotaur 作業的核心是 MOONSHINE 漏洞利用工具包。 MOONSHINE 最初記錄於 2019 年針對西藏目標的網路攻擊期間,它利用基於 Chromium 的瀏覽器和應用程式中的漏洞來傳遞其有效負載。此後,它不斷發展,融入了其他漏洞,例如 CVE-2020-6418,這是 Google 在 2020 年初修補的 V8 JavaScript 引擎中的一個缺陷。
此漏洞利用工具包的用途非常廣泛。它針對 Google Chrome、微信、QQ 和 LINE 等應用程序,旨在透過損壞的連結滲透受害者的裝置。這些連結通常偽裝成良性內容,例如與藏族和維吾爾族社區相關的公告或多媒體,以最大限度地提高社會工程策略的有效性。
DarkNimbus:多功能且侵入性的後門
一旦 MOONSHINE 獲得對設備的存取權限,它就會提供 DarkNimbus 後門,這是一種專門為長期監視而設計的工具。
Android 上的 DarkNimbus
DarkNimbus 的 Android 變體具有極高的侵入性,利用 XMPP 協定與其操作員進行通訊。它可以竊取敏感數據,包括:
- 裝置元數據
- 地理位置數據
- 通話記錄
- 聯絡方式和訊息
- 瀏覽器書籤與剪貼簿內容
DarkNimbus 還利用 Android 的輔助服務來攔截來自 WhatsApp、微信和 Skype 等流行通訊應用程式的訊息。此外,它還可以執行 shell 命令、記錄通話、擷取螢幕截圖,甚至卸載自身以逃避偵測。
Windows 上的 DarkNimbus
儘管功能不太豐富,但 Windows 版本仍然是資料外洩的強大工具。它自 2020 年底開始活躍,可以捕獲系統資訊、按鍵、剪貼簿資料、保存的憑證和瀏覽器歷史記錄。
社會工程與漏洞利用鏈:攻擊的剖析
地球牛頭怪嚴重依賴社會工程引誘受害者落入陷阱。即時通訊應用程式中嵌入的威脅連結將受害者重新導向到超過 55 個 MOONSHINE 漏洞利用伺服器之一。這些伺服器根據受害者的設備和瀏覽器配置部署各種策略:
- 漏洞執行:如果發現漏洞,伺服器將安裝 DarkNimbus 後門。
- 網路釣魚重定向:如果攻擊失敗,受害者可能會遇到網路釣魚頁面,敦促他們更新瀏覽器,這可能會導致進一步的危害。
在某些情況下,攻擊涉及降級微信等應用程式中的瀏覽器引擎,將其替換為有助於持久存取的木馬版本。
地球牛頭怪的全球影響力
該團體的活動不受地域限制。已在 18 個國家確定了受害者身份,包括美國、加拿大、印度、德國和台灣,凸顯了其業務的全球範圍。
雖然 MOONSHINE 與 POISON CARP 和 Earth Empusa 等其他威脅組織有聯繫,但 Earth Minotaur 獨立運作。該組織對藏族和維吾爾族社區的關注與 Evasive Panda 和 Scarlet Mimic 等對手的類似活動是一致的。然而,地球牛頭怪因其使用高度適應性的工具和複雜的感染鏈而脫穎而出。
MOONSHINE 的持續演變
MOONSHINE 仍然是一個正在積極開發的工具包,並由各種威脅行為者共享,包括 UNC5221 和 Earth Minotaur。它的不斷完善凸顯了對手持續針對弱勢社群的攻擊。
最後的想法:認識並減輕威脅
地球牛頭怪體現了針對性網路攻擊日益複雜的情況。我們敦促用戶維護更新的軟體,謹慎對待未經請求的鏈接,並對網路釣魚企圖保持警惕。隨著威脅行為者完善其策略,主動的網路安全措施仍然是抵禦地球牛頭怪等不斷演變的威脅的第一道防線。
