Devis de remise multi-licences
Données concernant les menaces Portes dérobées Porte dérobée DarkNimbus

Porte dérobée DarkNimbus

Par Mezo en Portes dérobées, Menace persistante avancée (APT), Logiciels malveillants mobiles
Se traduisent par :
Français

Un groupe de menaces jusqu'alors inconnu, désormais désigné Earth Minotaur, est devenu un acteur important de la cybersurveillance. À l'aide d'outils sophistiqués comme le kit d'exploitation MOONSHINE et une porte dérobée récemment identifiée appelée DarkNimbus, Earth Minotaur a démontré sa capacité à cibler à la fois les appareils Android et Windows dans un effort calculé pour infiltrer et surveiller les communautés tibétaine et ouïghoure.

Le kit d’exploitation MOONSHINE : une passerelle pour les menaces multiplateformes

Le kit d'exploitation MOONSHINE est au cœur des opérations d'Earth Minotaur. Initialement documenté en 2019 lors de cyberattaques contre des cibles tibétaines, MOONSHINE exploite les vulnérabilités des navigateurs et applications basés sur Chromium pour délivrer ses charges utiles. Il a depuis évolué, incorporant des vulnérabilités supplémentaires telles que CVE-2020-6418, une faille du moteur JavaScript V8 corrigée par Google début 2020.

Le kit d'exploitation est particulièrement polyvalent. Il cible des applications comme Google Chrome, WeChat, QQ et LINE et est conçu pour infiltrer les appareils des victimes via des liens corrompus. Ces liens sont souvent déguisés en contenu inoffensif, comme des annonces ou des éléments multimédias liés aux communautés tibétaine et ouïghoure, afin de maximiser l'efficacité des tactiques d'ingénierie sociale.

DarkNimbus : une porte dérobée polyvalente et intrusive

Une fois que MOONSHINE accède à un appareil, il fournit la porte dérobée DarkNimbus, un outil spécialement conçu pour la surveillance à long terme.

DarkNimbus sur Android

La variante Android de DarkNimbus est exceptionnellement intrusive, exploitant le protocole XMPP pour communiquer avec ses opérateurs. Elle est équipée pour exfiltrer des données sensibles, notamment :

  • Métadonnées de l'appareil
  • Données de géolocalisation
  • Historique des appels
  • Contacts et messages
  • Signets du navigateur et contenu du presse-papiers

DarkNimbus exploite également les services d'accessibilité d'Android pour intercepter les messages provenant d'applications de communication populaires telles que WhatsApp, WeChat et Skype. De plus, il peut exécuter des commandes shell, enregistrer des appels, effectuer des captures d'écran et même se désinstaller pour échapper à la détection.

DarkNimbus sur Windows

Bien que moins riche en fonctionnalités, la version Windows reste un outil puissant pour l'exfiltration de données. Active depuis fin 2020, elle peut capturer les informations système, les frappes au clavier, les données du presse-papiers, les informations d'identification enregistrées et l'historique du navigateur.

Ingénierie sociale et chaînes d’exploitation : l’anatomie d’une attaque

Le Minotaure de la Terre s'appuie largement sur l'ingénierie sociale pour attirer ses victimes dans son piège. Des liens menaçants intégrés dans des applications de messagerie instantanée redirigent les victimes vers l'un des 55 serveurs d'exploitation MOONSHINE. Ces serveurs déploient diverses stratégies en fonction de l'appareil et de la configuration du navigateur de la victime :

  • Exécution de l'exploit : si des vulnérabilités sont identifiées, le serveur installe la porte dérobée DarkNimbus.
  • Redirection de phishing : si les exploits échouent, les victimes peuvent rencontrer des pages de phishing les invitant à mettre à jour leur navigateur, ce qui peut conduire à d'autres compromissions.

Dans certains cas, l’attaque consiste à rétrograder le moteur du navigateur dans des applications comme WeChat, en le remplaçant par une version trojanisée qui facilite l’accès persistant.

La portée mondiale du Minotaure de la Terre

Les activités du groupe ne se limitent pas à une zone géographique. Des victimes ont été identifiées dans 18 pays, dont les États-Unis, le Canada, l'Inde, l'Allemagne et Taïwan, ce qui souligne la portée mondiale de ses opérations.

Alors que MOONSHINE a été associé à d'autres groupes de menaces comme POISON CARP et Earth Empusa, Earth Minotaur opère de manière indépendante. L'accent mis par le groupe sur les communautés tibétaines et ouïghoures s'aligne sur des campagnes similaires menées par des adversaires tels qu'Evasive Panda et Scarlet Mimic. Cependant, Earth Minotaur se distingue par son utilisation d'outils hautement adaptables et de chaînes d'infection sophistiquées.

L’évolution continue de MOONSHINE

MOONSHINE reste une boîte à outils en cours de développement actif et est partagée entre divers acteurs de la menace, notamment UNC5221 et Earth Minotaur. Son perfectionnement continu souligne la persistance des adversaires ciblant les communautés vulnérables.

Réflexions finales : reconnaître et atténuer la menace

Le Minotaure terrestre illustre la complexité croissante des cyberattaques ciblées. Les utilisateurs sont invités à maintenir leurs logiciels à jour, à faire preuve de prudence avec les liens non sollicités et à rester vigilants face aux tentatives de phishing. Alors que les acteurs malveillants affinent leurs tactiques, les mesures proactives de cybersécurité restent la première ligne de défense contre les menaces en constante évolution comme le Minotaure terrestre.

Tendance

Le plus regardé

Chargement...