Исследователи из Trend Micro выпустили отчет, в котором подробно описывается деятельность Earth Minotaur - неатрибутированного комплекса вторжений, связанного с предыдущими китайскими операциями.
Earth Minotaur APT
Earth Minotaur использует набор эксплойтов MOONSHINE - сложный фреймворк, нацеленный на уязвимости в приложениях для обмена мгновенными сообщениями для Android, включая WeChat. MOONSHINE, активный с 2019 года и работающий на более чем 55 идентифицированных серверах, был обновлен и включает в себя новые эксплойты и функции, такие как улучшенные методы уклонения.
Earth Minotaur использует MOONSHINE для доставки кроссплатформенного бэкдора DarkNimbus, который позволяет вести обширную слежку на устройствах под управлением Android и Windows. По данным Trend Micro, атаки направлены в основном на тибетские и уйгурские общины и используют уязвимости браузера на базе Chromium (например, CVE-2020-6418, CVE-2018-17480 и CVE-2018-17463, среди прочих) в приложениях для обмена мгновенными сообщениями для внедрения вредоносного кода. Тактика социальной инженерии является ключевой частью кампаний «Земного минотавра», поскольку фишинговые ссылки маскируются под информацию о путешествиях по Китаю, правительственные объявления, новости, связанные с религиями, новости, связанные с тибетцами или уйгурами, и новости, связанные с COVID-19.
После установки DarkNimbus предоставляет злоумышленникам доступ к данным, коммуникациям и мультимедиа устройства. Его Android-вариант использует для мониторинга сервисы доступности, а Windows-аналог - продвинутые протоколы командного управления. Trend Micro также отмечает вероятность совместного использования MOONSHINE несколькими злоумышленниками, связанными с Китаем, что подчеркивает эволюционирующую угрозу, которую представляют собой подобные системы эксплойтов.
Indicators of Compromise
IPv4
- 218.89.135.219
- 27.124.20.22
- 47.93.54.134
- 60.205.148.180
IPv4 Port Combinations
- 103.255.179.186:443
- 103.255.179.186:53
- 103.255.179.186:80
- 112.121.178.90:44444
- 117.175.185.81:8001
- 125.65.40.163:46991
- 154.202.198.246:443
Domains
- acd.1yxqwzx2.com
- ammffggo.com
- ansec.com
- api1-meta.com
- barginshowless.garddenshcok.com
- bstram.com
- dash.gztesttaac.com
- dash.nortonet.com
- formaldense.weixinpicture.com
- gates.chatonlineapp.com
- info.symantke.com
- like.wechatpictureupload.com
- m.leak-news.com
- magt1.xyz
- news.tibetonline.info
- newsdomain.net
- qqmailpls.com
- renp7.xyz
- server.img-bing.com
- static.chatonlineapp.com
- vsa.ahamar.com
- wechatnets.com
- whsdwxs.com
- wkcxpb.xyz
- www.cloudvn.info
- www.esetinc.com
- www.internetweixin.com
- www.leadtochanges.com
- www.lodepot.com
- www.mcofea.com
- www.newwechat.com
- www.nortonet.com
- www.onlinewechat.com
- www.online-wechat.com
- www.onlineweixin.net
- www.onlinewxapp.net
- www.qqnmqciug.com
- www.serverwechat.com
- www.tegacklephys.com
- www.txwect.com
- www.unusualtransaction.com
- www.vikingshielder.com
- www.wechatimghs.com
- www.weetogether.top
- www.wetransfering.com
- www.yb425ty.xyz
SHA256
- 07bae9dd9dade31f9df6806ecc7cb430535af674f39a549e875f6efbc429cdb3
- 08d6bfe8a1ff1043df4aebfbb7d074de0923a665a7e8134fd702ee45454304f5
- 09de7f15b1fca9cf586294ced2217a29611f0d34d41622f46d89ea4e3cd63a2e
- 11d760f84bea10155cf16b8f3620914a818307f9ece614069509494914a8f8a2
- 154182453f425512010c68f351e09d3debd2f79b12f064b780c3d37809110fab
- 1b6345d855db824e594f28e86e5abb04e0478923e51a3718cff80c42190cff6c
- 1b9ff9743b8aa4f9d3e151c5ab870137fe175240ce853c72a2dffea1a1172487
- 1defb8f7166f604640da5f2a913d69dd8c6ae14ea0bfe3cdfc1f1afcf96837cb
- 1e2afa69b7ba2a4baf20f3345c7f2fe59077df37cd27f37eddb1568196194706
- 1eaeb4558d5c4c67723c90f840b6f137517f4479e9fe8e1e874b18e9da754d4b
- 1f46a13af9ddc66a900fe2e9d717ca58ffd47c215741bca6fb5f3840f1bd9080
- 23ded8dd012bf6d51eda101abc85683759b1b5af9ea94cb54cfcc1a0da53642e
- 244e22147cc1e37543159a95cf4674a61f290af305c1c1e37b69c45b444f9097
- 2e6ef72d05b395224a03a73a50eaee1c9dc682976c99dde5317b76938cb669a4
- 405c1bd8e829486625c9e5f5acf2a18fb17abe375ae87803e34aaae91646770e
- 4f51eb7829b97d4a5ba5cdc9d909f484a0e412340fc68d3cad0e1f2e8972640d
- 532b3a47e15c45a113c3b219d0d66a18dcbf20c81de3b56f4bb71f7544de2699
- 5af767c90035a88d9a4d329c24631de21ba0a9481e0e540e058c9cfa4709a7a2
- 5c9f525cd60132fa2960953d7a4ba18b1858116c239882554b0d5d43d704fc85
- 61b24ff38bfdeb7b9f1716ee22535dccf1add5b19095a8f8b227a67270b279b2
- 73bb7e7d0743d40a1d967497a5fbb79c07132eb15a546fa25bbecaf43993a1d2
- 76c8f1df9461a3258acca6c5dc7962f4f5a34f09a5c7cb9bb58eae5ded240f06
- 7ee53cc01e039e7c7584ea3fe4274292a58957acce61227394889e84b1f7879e
- 8510fc293227ea7b7d4b20073302e015b616aa8af90d30549b5b118034036111
- 93dff9eff6a839f7202c109e34484bee5ed2430076ee4ac7e1d8f3d9479e243d
- 95da35098d6167c23bdb1901024614d3658fa78b34ae11612ec7abdfd92c92a0
- b5040d7ca5e9cdc331cc3fb9abed492be95ad872eb95176ac5bc3def169191e5
- b7f7de46f041d8115aeff221934c869fa6f0b449b95e0c6c181de75a3f517407
- b83492550bc9aaa0f6e8a669ac1349db59671e2874f4dafa0292c91b68dc2a41
- b9a646d39a15f76bb1cd3efd4bef67f31504e25c9ad364f0c4cc3886f2278b0e
- ba5b80ac52892d4a3d1b187be2e4cd6195e4bfae1eae4d1c59daffb072ec8dd5
- bdd760d3a8fbff322adad4a9d903daae9544e3c73264650bf60b3fa9a69ac425
- c59509018bbbe5482452a205513a2eb5d86004369309818ece7eba7a462ef854
- c5a06ffdf20b39c4555b37dec5e3075c16bd8ffb9bde4c87bd05243df53df064
- d65ad9c034cdd188dd566bea220ed07c1ed5d0dd2ac61897c82589efac9e75c5
- e43b1396419d1954a9911fba1ebec3eb24b27c3b461394b678f89848981f5f8d
- e7309efe719765fdc47f0bbf446a310d1a80a5cdadaced68054b3136b6776667
- e9664ad0272bc1b5e0d271dc3a28ef32cbdd0a790a1f5fe26ba4e1904cccbfdc
- f0b7f4a0e37708e4c767d529cbe35834ee3cff2b00a0c70d080d7f82924ad7ed
- fc117650688065deeb54e686f873359c2a56d23165567ab3f2a3b62498199fa9