Siber Savaş / Ulus-Devlet Saldırıları, Uç Nokta Güvenliği, Dolandırıcılık Yönetimi ve Siber Suçlar
Casus Yazılım Dağıtmak için Tarayıcı Kusurlarını Kullanan Olası Çin Devleti Destekli Exploit Kiti
Anviksha Daha Fazla (AnvikshaDevamı) •
6 Aralık 2024
Olası bir Çin devleti tehdit grubu, Pekin tarafından baskı altına alınmayı hedeflenen etnik azınlıkların üyeleri tarafından kullanılan platformlar arası cihazlara casus yazılım dağıtmak için mesajlaşma uygulamalarındaki güvenlik açıklarını hedef alıyor.
Ayrıca bakınız: Paneli | Siber Saldırılar Artıyor ve Siber Sigorta Oranları Hızla Yükseliyor
Trend Micro araştırmacıları, kötü aktörlerin uzun vadeli gözetim operasyonları yürütmesine olanak tanıyan, daha önce bildirilmemiş bir arka kapının yanı sıra Moonshine istismar kitini kullanan “Earth Minotaur” adını verdiği bir tehdit grubunu ortaya çıkardı. Tehdit aktörleri esas olarak Tibet ve Uygur topluluklarındaki bireyleri hedef alıyor. Amerika Birleşik Devletleri 2022 yılında Çin hükümetini Uygurlara karşı soykırım ve insanlığa karşı suç işlemekle suçlamıştı.
Trend Micro araştırmacıları Moonshine dağıtımını ilk olarak 2019’da gözlemledi ve Perşembe günü, güvenlik analizine karşı gelişmiş yeteneklere ve daha güçlü korumaya sahip yükseltilmiş bir sürüm bildirdi.
Earth Minotaur, Android ve Windows cihazlarında “DarkNimbus” olarak adlandırılan bir arka kapıyı dağıtmak için yararlanma kitini kullanıyor. Kit, popüler Çince WeChat mesajlaşma uygulamasını hedefliyor. Moonshine ayrıca Chromium tabanlı tarayıcılarda ve uygulamalardaki birçok güvenlik açığından da yararlanıyor.
Bu istismar kiti, güvenliği ihlal edilmiş cihazlardan hassas verileri çalmak üzere tasarlanmış yükleri dağıtmak için Chrome tarayıcısındaki güvenlik açıklarını kullanıyor. Uygulama içi tarayıcıları içeren uygulamalara odaklanarak Google Chrome, Naver gibi uygulamaları ve Line, QQ ve Zalo gibi mesajlaşma uygulamalarını hedefler.
Toronto Üniversitesi Vatandaş Laboratuvarı ilk olarak Moonshine kiti operatörünün izini, Nazar ve Dünya Empusa olarak takip edilen diğer tehdit gruplarıyla bağlantılı olan Zehirli Sazanı takip eden bir tehdit aktörüne kadar takip etti.
Saldırılar, kurbanları kötü niyetli bir bağlantıya tıklamaya teşvik etmek için tasarlanmış, genellikle hükümet duyuruları veya Çin ile ilgili haber konuları olarak gizlenen özel mesajlarla başlıyor. Saldırganlar, sosyal mühendislik taktiklerinin etkinliğini artırmak için sohbet konuşmalarında farklı karakterleri taklit ediyor.
Kötü amaçlı bağlantılar, kurbanları cihazlara DarkNimbus arka kapısını yükleyen en az 55 Moonshine istismar kiti sunucusundan birine yönlendiriyor. Bu aldatıcı URL’ler zararsız görünüyor ve Çin merkezli duyurular veya Tibet veya Uygur müziği ve dansını gösteren videolarla ilişkiliymiş gibi görünüyor. İstismar yürütüldükten sonra sunucu, kurbanı meşru bağlantıya yönlendirir ve kullanıcı tarafından tespit edilmesini önlemek için olağandışı etkinlikleri maskeler.
Moonshine, WeChat gibi uygulamalarda kullanılan Tencent Tarayıcı Sunucusu da dahil olmak üzere Chromium tabanlı tarayıcılardaki güvenlik açıklarını hedefler. Chromium tabanlı Tencent tarayıcısı, Moonshine tarafından kullanılan güvenlik açıklarından herhangi birine karşı savunmasız değilse, kitin sunucusu bir kimlik avı sayfası görüntüleyecektir. Bu sayfa, uygulama içi tarayıcılarının güncel olmadığını iddia ederek WeChat kullanıcılarını kandırıyor ve onlardan kötü amaçlı bir indirme bağlantısına tıklayarak tarayıcıyı güncellemelerini istiyor.
DarkNimbus verisi, Android cihazlar için bir gözetim aracı görevi görüyor ve cihaz, yüklü uygulamalar, coğrafi konum hakkında temel bilgileri topluyor ve ardından kişiler, çağrı kayıtları, SMS, pano içeriği, tarayıcı yer imleri ve mesajlaşma uygulaması konuşmaları gibi kişisel verileri çalıyor. DarkNimbus aramaları kaydedebilir, fotoğraf ve ekran görüntüsü alabilir, dosya işlemlerini gerçekleştirebilir ve komutları çalıştırabilir.
Moonshine istismar kitinin güncellenmiş sürümü, sıfır gün olarak silah haline getirilen ve Şubat 2020’de Google tarafından yamalanan, V8 JavaScript motorundaki bir tür karışıklığı güvenlik açığı olan CVE-2020-6418 istismarını içeriyor.