DarkNimbus バックドア
これまで正体不明だった脅威グループが、現在 Earth Minotaur と呼ばれ、サイバー監視の重要な役割を担っていることが明らかになりました。Earth Minotaur は、MOONSHINE エクスプロイト キットや DarkNimbus と呼ばれる新たに特定されたバックドアなどの高度なツールを使用し、チベットとウイグルのコミュニティに侵入して監視するという計画的な取り組みにおいて、Android と Windows の両方のデバイスをターゲットにする能力を実証しました。
目次
MOONSHINE エクスプロイトキット: クロスプラットフォームの脅威への入り口
Earth Minotaur の活動の中心となっているのは、MOONSHINE エクスプロイト キットです。2019 年にチベットを標的としたサイバー攻撃の際に最初に文書化された MOONSHINE は、Chromium ベースのブラウザーとアプリケーションの脆弱性を悪用してペイロードを配信します。その後進化し、2020 年初頭に Google が修正した V8 JavaScript エンジンの欠陥である CVE-2020-6418 などの追加の脆弱性を組み込んでいます。
このエクスプロイト キットは、非常に多用途です。Google Chrome、WeChat、QQ、LINE などのアプリケーションをターゲットにし、破損したリンクを通じて被害者のデバイスに侵入するように設計されています。これらのリンクは、ソーシャル エンジニアリング戦術の効果を最大限に高めるために、チベットやウイグルのコミュニティに関連するアナウンスやマルチメディアなどの無害なコンテンツに偽装されることがよくあります。
DarkNimbus: 多用途で侵入的なバックドア
MOONSHINE がデバイスにアクセスすると、長期監視用に特別に設計されたツールである DarkNimbus バックドアを配信します。
Android 版 DarkNimbus
DarkNimbus の Android 版は非常に侵入性が高く、XMPP プロトコルを利用してオペレーターと通信します。次のような機密データを盗み出す機能を備えています。
- デバイスのメタデータ
- 地理位置情報データ
- 通話履歴
- 連絡先とメッセージ
- ブラウザのブックマークとクリップボードの内容
DarkNimbus は、Android のアクセシビリティ サービスを利用して、WhatsApp、WeChat、Skype などの一般的な通信アプリケーションからのメッセージを傍受します。さらに、シェル コマンドの実行、通話の録音、スクリーンショットのキャプチャ、さらには検出を回避するためにアンインストールすることもできます。
Windows 上の DarkNimbus
Windows 版は機能が少ないものの、依然としてデータ流出のための強力なツールです。2020 年後半から活動しており、システム情報、キーストローク、クリップボード データ、保存された資格情報、ブラウザー履歴をキャプチャできます。
ソーシャルエンジニアリングとエクスプロイトチェーン: 攻撃の解剖
Earth Minotaur は、ソーシャル エンジニアリングを駆使して被害者を罠に誘い込みます。インスタント メッセージング アプリに埋め込まれた脅迫的なリンクは、被害者を 55 台を超える MOONSHINE エクスプロイト サーバーの 1 つにリダイレクトします。これらのサーバーは、被害者のデバイスとブラウザーの構成に基づいてさまざまな戦略を展開します。
- エクスプロイト実行: 脆弱性が特定された場合、サーバーは DarkNimbus バックドアをインストールします。
- フィッシング リダイレクト: エクスプロイトが失敗した場合、被害者はブラウザの更新を促すフィッシング ページに遭遇する可能性があり、これによりさらに侵害を受ける可能性があります。
場合によっては、攻撃には WeChat などのアプリケーション内のブラウザ エンジンをダウングレードし、永続的なアクセスを可能にするトロイの木馬化されたバージョンに置き換えることが含まれます。
アースミノタウロスの世界的な広がり
このグループの活動は地理的に限定されていない。被害者は米国、カナダ、インド、ドイツ、台湾を含む18カ国で確認されており、同グループの活動が世界規模で行われていることが浮き彫りになっている。
MOONSHINE は POISON CARP や Earth Empusa などの他の脅威グループと関連付けられてきましたが、Earth Minotaur は独立して活動しています。このグループがチベットとウイグルのコミュニティに重点を置く点は、Evasive Panda や Scarlet Mimic などの攻撃者による同様のキャンペーンと一致しています。ただし、Earth Minotaur は、適応性の高いツールと洗練された感染チェーンを使用している点で際立っています。
MOONSHINEの進化
MOONSHINE は現在も開発が進められているツールキットであり、UNC5221 や Earth Minotaur など、さまざまな脅威アクターの間で共有されています。このツールキットが継続的に改良されていることは、脆弱なコミュニティを標的とする攻撃者の執拗さを浮き彫りにしています。
結論: 脅威を認識し、軽減する
Earth Minotaur は、標的型サイバー攻撃の複雑さが増していることを示す好例です。ユーザーは、ソフトウェアを常に最新の状態に維持し、迷惑リンクには注意し、フィッシング攻撃には警戒を怠らないようにする必要があります。脅威の攻撃者が戦術を洗練させていく中、積極的なサイバーセキュリティ対策は Earth Minotaur のような進化する脅威に対する第一の防御線であり続けます。
