中国黑客使用MOONSHINE漏洞工具包和DarkNimbus后门攻击维吾尔人和藏人

《维吾尔时报》编辑部

本文新闻是《The Hacker News》报告的简化版本，《维吾尔时报》团队未作任何补充，全文归功于《The Hacker News》。

一个新发现的黑客组织“Earth Minotaur”正利用先进的监控工具针对维吾尔人和藏人发动攻击。该组织使用MOONSHINE漏洞工具包和一种名为DarkNimbus的后门恶意软件实施复杂的网络攻击，旨在对这些社区进行长期监控。

针对维吾尔和藏人社区
据趋势科技（Trend Micro）的网络安全研究人员称，“Earth Minotaur”使用升级版的MOONSHINE漏洞工具包感染设备并安装DarkNimbus后门。与其他威胁组织不同，“Earth Minotaur”独立于“Earth Empusa”等团体运行，但展现了同样令人担忧的能力。

该组织通过即时通讯应用发送恶意链接，常常伪装成与维吾尔或藏人音乐和舞蹈相关的无害公告或文化视频。点击这些链接会将受害者引导至托管MOONSHINE漏洞工具包的服务器，并进一步安装DarkNimbus后门。

利用浏览器漏洞
MOONSHINE漏洞工具包利用了如CVE-2020-6418等漏洞（Google Chrome V8 JavaScript引擎中的一个漏洞，已于2020年修复）。如果用户设备未受到保护，恶意软件会悄无声息地部署。在完成恶意任务后，服务器会将受害者重定向至合法网站，以避免引起怀疑。

钓鱼战术与浏览器降级攻击
当MOONSHINE无法成功攻击设备时，它会采取钓鱼策略。例如，维吾尔人的微信用户可能会收到伪造的警报，敦促他们更新应用内浏览器。这种策略利用过时软件安装被植入木马的浏览器版本，用以替代原始版本，从而执行DarkNimbus。

DarkNimbus：一款先进的间谍工具
DarkNimbus自2018年开发并不断更新，是一种强大的监控工具，主要针对Android和Windows设备。在Android平台上，它能够捕获包括地理位置、联系人列表、通话记录和应用数据在内的敏感信息，还可以截屏、录音以及获取微信、QQ、WhatsApp和Skype等平台的消息。

针对Windows设备的DarkNimbus版本开发于2019年底，尽管功能较少，但仍能够窃取按键记录、浏览器凭据和剪贴板数据。

全球性网络威胁
“Earth Minotaur”的攻击超越了维吾尔和藏人群体的范围，受影响国家包括美国、澳大利亚、加拿大、德国、土耳其等多个国家。这表明该组织具备全球性影响力和高超技术水平。

不断增加的威胁对手
该组织加入了针对维吾尔人和藏人的长期威胁者名单，包括Scarlet Mimic、Flea和Evasive Panda等。诸如MOONSHINE工具的共同使用表明，这些组织之间可能存在合作或交集，增加了威胁态势的复杂性。

呼吁警惕
专家敦促用户定期更新软件，并在点击链接时保持警惕，尤其是通过即时通讯平台收到的链接。趋势科技研究员Joseph Chen和Daniel Lunghi表示：“MOONSHINE利用了Chromium浏览器已知的漏洞，更新是防止攻击的关键。”

对维吾尔人和藏人的持续攻击凸显了为保护弱势群体采取强大网络安全措施的必要性。

在Twitter和LinkedIn上关注《维吾尔时报》，获取关于网络安全威胁和维吾尔相关问题的最新动态。