افشاگری درباره Earth Minotaur: کمپین سایبری مخفی علیه اویغورها و تبتی‌ها

گروه تهدید پیشرفته Earth Minotaur با بهره‌گیری از کیت اکسپلویت MOONSHINE و درب پشتی DarkNimbus، حملاتی پیچیده علیه جوامع اویغور و تبتی انجام می‌دهد. این کمپین چند پلتفرمی از آسیب‌پذیری‌های مرورگر و تکنیک‌های مهندسی اجتماعی برای نفوذ به دستگاه‌ها سوءاستفاده کرده و نگرانی‌های جدی درباره نظارت و امنیت داده‌ها ایجاد کرده است.

نگاهی دقیق‌تر به تهدید Earth Minotaur

یک گروه تهدید سایبری تازه شناسایی شده، Earth Minotaur، به عنوان یک نگرانی مهم برای متخصصان امنیت سایبری ظهور کرده است. این گروه از ابزارهای پیشرفته‌ای مانند کیت اکسپلویت MOONSHINE و درب پشتی DarkNimbus در حملات هدفمند علیه جوامع تبتی و اویغور استفاده می‌کند. این کمپین‌ها نه تنها پیچیده هستند، بلکه سطح بالایی از انطباق‌پذیری را نیز نشان می‌دهند که آنها را به ویژه خطرناک می‌کند.

MOONSHINE چیست؟

MOONSHINE که در ابتدا در سال ۲۰۱۹ کشف شد، یک کیت اکسپلویت مبتنی بر اندروید است که آسیب‌پذیری‌های مرورگرهای مبتنی بر Chromium را هدف قرار می‌دهد. این کیت برای اولین بار در جریان حملات به جامعه تبتی مورد توجه قرار گرفت و انتساب آن به اپراتور POISON CARP اشاره داشت. این ابزار برای ارائه محموله‌هایی طراحی شده است که قادر به استخراج داده‌های حساس هستند.

ویژگی‌های کلیدی MOONSHINE عبارتند از:
– بهره‌برداری از چندین آسیب‌پذیری مرورگر، مانند CVE-2020-6418.
– هدف قرار دادن برنامه‌های کاربردی با مرورگرهای درون برنامه‌ای، از جمله WeChat، LINE و گوگل کروم.
– استفاده از تاکتیک‌های فیشینگ برای فریب قربانیان به بازدید از لینک‌های مخرب.

ورود درب پشتی DarkNimbus

DarkNimbus، یک درب پشتی طراحی شده برای هر دو پلتفرم اندروید و ویندوز، محور اصلی عملیات Earth Minotaur است. در دستگاه‌های اندروید، می‌تواند:
– داده‌های حساس، از جمله موقعیت مکانی، مخاطبین، پیام‌های SMS و بوکمارک‌های مرورگر را جمع‌آوری کند.
– تماس‌ها را ضبط کند، از صفحه نمایش عکس بگیرد و به سرویس‌های دسترسی‌پذیری برای نظارت بر برنامه‌هایی مانند WhatsApp، WeChat و Skype دسترسی پیدا کند.
– دستورات shell را اجرا کند و بدون اطلاع کاربر، خودش را حذف کند.

نسخه ویندوز، اگرچه از همتای اندروید خود ویژگی‌های کمتری دارد، اما همچنان خطرات قابل توجهی را به همراه دارد. می‌تواند اطلاعات سیستم، داده‌های کلیپ بورد، اعتبارنامه‌های ذخیره شده و حتی ضربه‌های کلید را جمع‌آوری کند.

نحوه اجرای حمله

Earth Minotaur از یک استراتژی چند مرحله‌ای برای به خطر انداختن دستگاه‌ها استفاده می‌کند:
1. پیام‌های فیشینگ: مهندسی اجتماعی یک تاکتیک کلیدی است. قربانیان پیام‌هایی را از طریق پلتفرم‌های پیام‌رسان فوری دریافت می‌کنند که حاوی لینک‌های مخربی هستند که به عنوان محتوای بی‌ضرر – مانند ویدیوهای فرهنگی یا اطلاعیه‌های مربوط به جوامع اویغور یا تبتی – پنهان شده‌اند.
2. استقرار اکسپلویت: کلیک بر روی این لینک‌ها کاربران را به یکی از ۵۵ سرور اکسپلویت MOONSHINE شناسایی شده هدایت می‌کند. بسته به پیکربندی مرورگر قربانی، این سرورها یا یک اکسپلویت را اجرا می‌کنند یا یک صفحه فیشینگ را نمایش می‌دهند که به کاربران توصیه می‌کند مرورگر خود را “به‌روزرسانی” کنند.
3. تحویل محموله: بهره‌برداری موفقیت‌آمیز منجر به نصب یک موتور مرورگر تروجان شده یا مستقیماً درب پشتی DarkNimbus را روی دستگاه کاشت می‌کند.

دسترسی جهانی کمپین

فعالیت‌های Earth Minotaur در کشورهای متعددی از جمله:
– استرالیا، کانادا، فرانسه، آلمان، هند، ژاپن و ایالات متحده آمریکا.
– کشورهایی با جمعیت قابل توجه دیاسپورا تبتی یا اویغور.

تأثیر جغرافیایی گسترده این گروه، پیچیدگی و منابع آن را برجسته می‌کند.

پیامدهای گسترده‌تر

این کمپین بخشی از یک روند بزرگتر از حملات سایبری است که گروه‌های اقلیت را برای نظارت و کنترل هدف قرار می‌دهد. Earth Minotaur به لیستی از سایر بازیگران تهدید – مانند Scarlet Mimic و Evasive Panda – می‌پیوندد که بر دیاسپورا تبتی و اویغور تمرکز کرده‌اند.

انطباق‌پذیری و توسعه مداوم MOONSHINE نشان می‌دهد که بین چندین گروه تهدید به اشتراک گذاشته می‌شود و تلاش‌ها برای مقابله با تأثیر آن را پیچیده‌تر می‌کند.

نکات کلیدی

استفاده Earth Minotaur از کیت اکسپلویت MOONSHINE و درب پشتی DarkNimbus، ماهیت در حال تکامل تهدیدات سایبری را که جوامع آسیب‌پذیر را هدف قرار می‌دهند، برجسته می‌کند. این گروه با بهره‌برداری از آسیب‌پذیری‌های مرورگر و استقرار بدافزار چند پلتفرمی، رویکردی پیچیده برای نظارت طولانی مدت و سرقت داده‌ها نشان می‌دهد.

برای افراد و سازمان‌های در معرض خطر، هوشیار ماندن و اطمینان از به‌روزرسانی منظم نرم‌افزار، گام‌های حیاتی در کاهش این تهدیدات هستند. از آنجایی که چشم‌انداز امنیت سایبری به تکامل خود ادامه می‌دهد، درک چنین کمپین‌هایی برای توسعه اقدامات متقابل مؤثر ضروری است.

اگر به خواندن کامل این مطلب علاقه‌مندید، روی لینک مقابل کلیک کنید: the hacker news