گروه تهدید پیشرفته Earth Minotaur با بهرهگیری از کیت اکسپلویت MOONSHINE و درب پشتی DarkNimbus، حملاتی پیچیده علیه جوامع اویغور و تبتی انجام میدهد. این کمپین چند پلتفرمی از آسیبپذیریهای مرورگر و تکنیکهای مهندسی اجتماعی برای نفوذ به دستگاهها سوءاستفاده کرده و نگرانیهای جدی درباره نظارت و امنیت دادهها ایجاد کرده است.
نگاهی دقیقتر به تهدید Earth Minotaur
یک گروه تهدید سایبری تازه شناسایی شده، Earth Minotaur، به عنوان یک نگرانی مهم برای متخصصان امنیت سایبری ظهور کرده است. این گروه از ابزارهای پیشرفتهای مانند کیت اکسپلویت MOONSHINE و درب پشتی DarkNimbus در حملات هدفمند علیه جوامع تبتی و اویغور استفاده میکند. این کمپینها نه تنها پیچیده هستند، بلکه سطح بالایی از انطباقپذیری را نیز نشان میدهند که آنها را به ویژه خطرناک میکند.
MOONSHINE چیست؟
MOONSHINE که در ابتدا در سال ۲۰۱۹ کشف شد، یک کیت اکسپلویت مبتنی بر اندروید است که آسیبپذیریهای مرورگرهای مبتنی بر Chromium را هدف قرار میدهد. این کیت برای اولین بار در جریان حملات به جامعه تبتی مورد توجه قرار گرفت و انتساب آن به اپراتور POISON CARP اشاره داشت. این ابزار برای ارائه محمولههایی طراحی شده است که قادر به استخراج دادههای حساس هستند.
ویژگیهای کلیدی MOONSHINE عبارتند از:
– بهرهبرداری از چندین آسیبپذیری مرورگر، مانند CVE-2020-6418.
– هدف قرار دادن برنامههای کاربردی با مرورگرهای درون برنامهای، از جمله WeChat، LINE و گوگل کروم.
– استفاده از تاکتیکهای فیشینگ برای فریب قربانیان به بازدید از لینکهای مخرب.
ورود درب پشتی DarkNimbus
DarkNimbus، یک درب پشتی طراحی شده برای هر دو پلتفرم اندروید و ویندوز، محور اصلی عملیات Earth Minotaur است. در دستگاههای اندروید، میتواند:
– دادههای حساس، از جمله موقعیت مکانی، مخاطبین، پیامهای SMS و بوکمارکهای مرورگر را جمعآوری کند.
– تماسها را ضبط کند، از صفحه نمایش عکس بگیرد و به سرویسهای دسترسیپذیری برای نظارت بر برنامههایی مانند WhatsApp، WeChat و Skype دسترسی پیدا کند.
– دستورات shell را اجرا کند و بدون اطلاع کاربر، خودش را حذف کند.
نسخه ویندوز، اگرچه از همتای اندروید خود ویژگیهای کمتری دارد، اما همچنان خطرات قابل توجهی را به همراه دارد. میتواند اطلاعات سیستم، دادههای کلیپ بورد، اعتبارنامههای ذخیره شده و حتی ضربههای کلید را جمعآوری کند.
نحوه اجرای حمله
Earth Minotaur از یک استراتژی چند مرحلهای برای به خطر انداختن دستگاهها استفاده میکند:
1. پیامهای فیشینگ: مهندسی اجتماعی یک تاکتیک کلیدی است. قربانیان پیامهایی را از طریق پلتفرمهای پیامرسان فوری دریافت میکنند که حاوی لینکهای مخربی هستند که به عنوان محتوای بیضرر – مانند ویدیوهای فرهنگی یا اطلاعیههای مربوط به جوامع اویغور یا تبتی – پنهان شدهاند.
2. استقرار اکسپلویت: کلیک بر روی این لینکها کاربران را به یکی از ۵۵ سرور اکسپلویت MOONSHINE شناسایی شده هدایت میکند. بسته به پیکربندی مرورگر قربانی، این سرورها یا یک اکسپلویت را اجرا میکنند یا یک صفحه فیشینگ را نمایش میدهند که به کاربران توصیه میکند مرورگر خود را “بهروزرسانی” کنند.
3. تحویل محموله: بهرهبرداری موفقیتآمیز منجر به نصب یک موتور مرورگر تروجان شده یا مستقیماً درب پشتی DarkNimbus را روی دستگاه کاشت میکند.
دسترسی جهانی کمپین
فعالیتهای Earth Minotaur در کشورهای متعددی از جمله:
– استرالیا، کانادا، فرانسه، آلمان، هند، ژاپن و ایالات متحده آمریکا.
– کشورهایی با جمعیت قابل توجه دیاسپورا تبتی یا اویغور.
تأثیر جغرافیایی گسترده این گروه، پیچیدگی و منابع آن را برجسته میکند.
پیامدهای گستردهتر
این کمپین بخشی از یک روند بزرگتر از حملات سایبری است که گروههای اقلیت را برای نظارت و کنترل هدف قرار میدهد. Earth Minotaur به لیستی از سایر بازیگران تهدید – مانند Scarlet Mimic و Evasive Panda – میپیوندد که بر دیاسپورا تبتی و اویغور تمرکز کردهاند.
انطباقپذیری و توسعه مداوم MOONSHINE نشان میدهد که بین چندین گروه تهدید به اشتراک گذاشته میشود و تلاشها برای مقابله با تأثیر آن را پیچیدهتر میکند.
نکات کلیدی
استفاده Earth Minotaur از کیت اکسپلویت MOONSHINE و درب پشتی DarkNimbus، ماهیت در حال تکامل تهدیدات سایبری را که جوامع آسیبپذیر را هدف قرار میدهند، برجسته میکند. این گروه با بهرهبرداری از آسیبپذیریهای مرورگر و استقرار بدافزار چند پلتفرمی، رویکردی پیچیده برای نظارت طولانی مدت و سرقت دادهها نشان میدهد.
برای افراد و سازمانهای در معرض خطر، هوشیار ماندن و اطمینان از بهروزرسانی منظم نرمافزار، گامهای حیاتی در کاهش این تهدیدات هستند. از آنجایی که چشمانداز امنیت سایبری به تکامل خود ادامه میدهد، درک چنین کمپینهایی برای توسعه اقدامات متقابل مؤثر ضروری است.
اگر به خواندن کامل این مطلب علاقهمندید، روی لینک مقابل کلیک کنید: the hacker news
