Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Hintertür-Viren DarkNimbus-Hintertür

DarkNimbus-Hintertür

Von Mezo in Hintertür-Viren, Erweiterte, anhaltende Bedrohung (APT), Mobile Malware
Übersetzen Sie in:
Deutsch

Eine bislang unbekannte Bedrohungsgruppe, die nun Earth Minotaur heißt, ist als bedeutender Akteur in der Cyberüberwachung aufgetaucht. Mit ausgefeilten Tools wie dem Exploit Kit MOONSHINE und einer neu identifizierten Backdoor namens DarkNimbus hat Earth Minotaur seine Fähigkeit unter Beweis gestellt, sowohl Android- als auch Windows-Geräte anzugreifen, um gezielt die tibetische und uigurische Gemeinschaft zu infiltrieren und zu überwachen.

Das MOONSHINE Exploit Kit: Ein Einfallstor für plattformübergreifende Bedrohungen

Im Mittelpunkt der Operationen von Earth Minotaur steht das Exploit-Kit MOONSHINE. MOONSHINE wurde erstmals 2019 bei Cyberangriffen auf tibetische Ziele entdeckt und nutzt Schwachstellen in Chromium-basierten Browsern und Anwendungen aus, um seine Payloads auszuliefern. Seitdem hat es sich weiterentwickelt und zusätzliche Schwachstellen wie CVE-2020-6418 eingebaut, einen Fehler in der JavaScript-Engine V8, der Anfang 2020 von Google gepatcht wurde.

Das Exploit-Kit ist ausgesprochen vielseitig. Es zielt auf Anwendungen wie Google Chrome, WeChat, QQ und LINE ab und ist darauf ausgelegt, die Geräte der Opfer über beschädigte Links zu infiltrieren. Diese Links werden oft als harmlose Inhalte getarnt, wie etwa Ankündigungen oder Multimedia-Inhalte im Zusammenhang mit den tibetischen und uigurischen Gemeinschaften, um die Wirksamkeit der Social-Engineering-Taktiken zu maximieren.

DarkNimbus: Eine vielseitige und aufdringliche Hintertür

Sobald MOONSHINE Zugriff auf ein Gerät erhält, liefert es die DarkNimbus-Hintertür, ein Tool, das speziell für die Langzeitüberwachung entwickelt wurde.

DarkNimbus auf Android

Die Android-Variante von DarkNimbus ist äußerst aufdringlich und nutzt das XMPP-Protokoll zur Kommunikation mit seinen Betreibern. Sie ist in der Lage, vertrauliche Daten zu exfiltrieren, darunter:

  • Gerätemetadaten
  • Geolokalisierungsdaten
  • Anrufverlauf
  • Kontakte und Nachrichten
  • Browser-Lesezeichen und Zwischenablageinhalte

DarkNimbus nutzt außerdem die Bedienungshilfen von Android, um Nachrichten von beliebten Kommunikationsanwendungen wie WhatsApp, WeChat und Skype abzufangen. Darüber hinaus kann es Shell-Befehle ausführen, Anrufe aufzeichnen, Screenshots machen und sich sogar selbst deinstallieren, um nicht entdeckt zu werden.

DarkNimbus unter Windows

Obwohl die Windows-Version weniger Funktionen bietet, bleibt sie ein wirksames Tool zur Datenexfiltration. Sie ist seit Ende 2020 aktiv und kann Systeminformationen, Tastatureingaben, Zwischenablagedaten, gespeicherte Anmeldeinformationen und den Browserverlauf erfassen.

Social Engineering und Exploit Chains: Die Anatomie eines Angriffs

Der Earth Minotaur setzt stark auf Social Engineering, um Opfer in seine Falle zu locken. Bedrohliche Links, die in Instant-Messaging-Apps eingebettet sind, leiten Opfer auf einen von über 55 MOONSHINE-Exploit-Servern um. Diese Server setzen je nach Geräte- und Browserkonfiguration des Opfers verschiedene Strategien ein:

  • Exploit-Ausführung : Wenn Schwachstellen identifiziert werden, installiert der Server die DarkNimbus-Hintertür.
  • Phishing-Umleitung : Wenn Exploits fehlschlagen, werden die Opfer möglicherweise auf Phishing-Seiten gestoßen, die sie auffordern, ihren Browser zu aktualisieren, was zu weiteren Kompromittierungen führen kann.

In einigen Fällen besteht der Angriff darin, die Browser-Engine in Anwendungen wie WeChat herunterzustufen und durch eine mit einem Trojaner infizierte Version zu ersetzen, die dauerhaften Zugriff ermöglicht.

Die globale Reichweite des Erd-Minotaurus

Die Aktivitäten der Gruppe sind nicht geographisch begrenzt. Opfer wurden in 18 Ländern identifiziert, darunter den USA, Kanada, Indien, Deutschland und Taiwan, was den globalen Umfang ihrer Aktivitäten unterstreicht.

Während MOONSHINE mit anderen Bedrohungsgruppen wie POISON CARP und Earth Empusa in Verbindung gebracht wird, operiert Earth Minotaur unabhängig. Der Fokus der Gruppe auf tibetische und uigurische Gemeinschaften steht im Einklang mit ähnlichen Kampagnen von Gegnern wie Evasive Panda und Scarlet Mimic. Earth Minotaur sticht jedoch durch den Einsatz hochgradig anpassbarer Tools und ausgeklügelter Infektionsketten hervor.

Die fortlaufende Entwicklung von MOONSHINE

MOONSHINE ist ein Toolkit, das aktiv weiterentwickelt wird und von verschiedenen Bedrohungsakteuren, darunter UNC5221 und Earth Minotaur, gemeinsam genutzt wird. Seine kontinuierliche Weiterentwicklung unterstreicht die Beharrlichkeit der Angreifer, gefährdete Gemeinschaften ins Visier zu nehmen.

Abschließende Gedanken: Erkennen und Eindämmen der Bedrohung

Der Earth Minotaur ist ein Beispiel für die zunehmende Komplexität gezielter Cyberangriffe. Benutzer werden dringend gebeten, ihre Software auf dem neuesten Stand zu halten, bei unerwünschten Links vorsichtig zu sein und bei Phishing-Versuchen wachsam zu bleiben. Während Bedrohungsakteure ihre Taktiken verfeinern, bleiben proaktive Cybersicherheitsmaßnahmen die erste Verteidigungslinie gegen sich entwickelnde Bedrohungen wie den Earth Minotaur.

Im Trend

Am häufigsten gesehen

Wird geladen...