Daha önce belgelenmemiş bir tehdit faaliyet kümesi Dünya Minotauru Tibetlileri ve Uygurları hedef alan uzun vadeli gözetleme operasyonlarını kolaylaştırmak için MOONSHINE istismar kitinden ve DarkNimbus adlı rapor edilmemiş Android ve Windows arka kapısından yararlanıyor.
Trend Micro araştırmacıları Joseph C Chen ve Daniel Lunghi, bugün yayınlanan bir analizde “Earth Minotaur, DarkNimbus arka kapısını Android ve Windows cihazlara sunmak için MOONSHINE’ı kullanıyor, WeChat’i hedef alıyor ve muhtemelen onu platformlar arası bir tehdit haline getiriyor.” dedi.
“MOONSHINE, Chromium tabanlı tarayıcılarda ve uygulamalarda bilinen çok sayıda güvenlik açığından yararlanıyor ve kullanıcıların saldırıları önlemek için yazılımlarını düzenli olarak güncellemelerini gerektiriyor.”
Earth Minotaur’un saldırılarından etkilenen ülkeler Avustralya, Belçika, Kanada, Fransa, Almanya, Hindistan, İtalya, Japonya, Nepal, Hollanda, Norveç, Rusya, İspanya, İsviçre, Tayvan, Türkiye ve ABD’yi kapsıyor
MOONSHINE ilk olarak Eylül 2019’da Tibet topluluğunu hedef alan siber saldırıların bir parçası olarak ortaya çıktı; Citizen Lab, kullanımını Earth Empusa ve Nazar tehdit grupları ile örtüşen ZEHİRLİ CARP adı altında takip ettiği bir operatöre atfediyor.
Android tabanlı bir yararlanma kitinin, güvenliği ihlal edilmiş cihazlardan hassas verileri çekebilecek yükleri dağıtmak amacıyla çeşitli Chrome tarayıcı açıklarından yararlandığı biliniyor. Özellikle, Google Chrome, Naver gibi çeşitli uygulamaları ve uygulama içi tarayıcıyı içeren LINE, QQ, WeChat ve Zalo gibi anlık mesajlaşma uygulamalarını hedefleyen kod içerir.
Trend Micro’ya göre Earth Minotaur’un Earth Empusa ile doğrudan bağlantısı yok. Öncelikle Tibet ve Uygur topluluklarını hedef alan tehdit aktörünün, MOONSHINE’ın yükseltilmiş bir versiyonunu kullanarak kurbanların cihazlarına sızdığı ve daha sonra onlara DarkNimbus bulaştırdığı tespit edildi.
Yeni varyant, Google’ın sıfır gün olarak silah haline getirildiği yönündeki raporların ardından Şubat 2020’de yamaladığı V8 JavaScript motorundaki bir tür karışıklık güvenlik açığı olan CVE-2020-6418 istismar cephaneliğine ekleniyor.
Araştırmacılar, “Earth Minotaur, kurbanları gömülü kötü amaçlı bir bağlantıya tıklamaya ikna etmek için anlık mesajlaşma uygulamaları aracılığıyla özenle hazırlanmış mesajlar gönderiyor” dedi. “Sosyal mühendislik saldırılarının başarısını artırmak için sohbetlerde kendilerini farklı karakterler gibi gösteriyorlar.”
Sahte bağlantılar, hedefin cihazlarına DarkNimbus arka kapısının kurulmasıyla ilgilenen en az 55 MOONSHINE istismar kiti sunucusundan birine yönlendiriyor.
Akıllıca bir aldatma girişimiyle, bu URL’ler görünüşte zararsız bağlantılar gibi görünerek, Çin ile ilgili duyurular veya Tibetlilerin veya Uygurların müzik ve danslarının çevrimiçi videolarıyla ilgiliymiş gibi davranılıyor.
Trend Micro, “Bir kurban bir saldırı bağlantısını tıkladığında ve yararlanma kiti sunucusuna yönlendirildiğinde, yerleşik ayarlara göre tepki verir” dedi. “Sunucu, kurbanın herhangi bir olağandışı aktiviteyi fark etmesini önlemek için saldırı bittiğinde kurbanı maskelenmiş meşru bağlantıya yönlendirecektir.”
Chromium tabanlı Tencent tarayıcısının, MOONSHINE tarafından desteklenen herhangi bir açıktan etkilenmediği durumlarda, kit sunucusu, WeChat kullanıcısını uygulama içi tarayıcının (Android WebView’ın özel bir sürümü olarak adlandırılan) uyaran bir kimlik avı sayfası döndürecek şekilde yapılandırılmıştır. XWalk) güncel değil ve sağlanan indirme bağlantısına tıklanarak güncellenmesi gerekiyor.
Bu, tarayıcı motorunun sürüm düşürme saldırısına neden olur ve böylece tehdit aktörünün yama yapılmamış güvenlik kusurlarından yararlanarak MOONSHINE çerçevesinden yararlanmasına olanak tanır.
Başarılı bir saldırı, XWalk’ın truva atı haline getirilmiş bir sürümünün Android cihaza yerleştirilmesine ve WeChat uygulamasındaki meşru karşılığının yerine geçmesine neden olur ve sonuçta DarkNimbus’un yürütülmesinin önünü açar.
2018’den bu yana geliştirildiğine ve aktif olarak güncellendiğine inanılan arka kapı, saldırgan tarafından kontrol edilen bir sunucuyla iletişim kurmak için XMPP protokolünü kullanıyor ve cihaz meta verileri, ekran görüntüleri, tarayıcı yer imleri, telefon görüşmesi geçmişi dahil olmak üzere değerli bilgileri ele geçirmek için kapsamlı bir komut listesini destekliyor. kişiler, SMS mesajları, coğrafi konum, dosyalar, pano içeriği ve yüklü uygulamaların listesi.
Ayrıca DingTalk, MOMO, QQ, Skype, TalkBox, Voxer, WeChat ve WhatsApp’tan mesaj toplamak için kabuk komutlarını yürütme, telefon görüşmelerini kaydetme, fotoğraf çekme ve Android’in erişilebilirlik hizmetleri izinlerini kötüye kullanma yeteneğine de sahiptir. Son fakat bir o kadar da önemlisi, kendisini virüslü telefondan kaldırabilir.
Trend Micro, DarkNimbus’un muhtemelen Temmuz ve Ekim 2019 arasında bir araya getirilen ancak yalnızca bir yıldan uzun bir süre sonra Aralık 2020’de kullanılan bir Windows sürümünü de tespit ettiğini söyledi.
Android versiyonunun birçok özelliğinden yoksundur ancak sistem bilgilerini, yüklü uygulamaların listesini, tuş vuruşlarını, pano verilerini, kaydedilmiş kimlik bilgilerini ve web tarayıcılarından geçmişi toplamak ve ayrıca dosya içeriğini okumak ve yüklemek için çok çeşitli komutları içerir. .
Earth Minotaur’un kesin kökenleri şu anda belirsiz olsa da, gözlemlenen enfeksiyon zincirlerindeki çeşitlilik, son derece yetenekli kötü amaçlı yazılım araçlarıyla birleştiğinde, bunun karmaşık bir tehdit aktörü olduğuna şüphe bırakmıyor.
Trend Micro’nun teorisine göre “MOONSHINE, halen geliştirilme aşamasında olan ve Earth Minotaur, POISON CARP, UNC5221 ve diğerleri dahil olmak üzere çok sayıda tehdit aktörüyle paylaşılan bir araç setidir.”