Yeni tanımlanan bir siber tehdit operasyonu, popüler WeChat uygulamasındaki güvenlik açıklarını hedeflemek ve Çin’deki Tibet ve Uygur etnik azınlık topluluklarına ait hem Android hem de Windows cihazlarına daha önce bildirilmemiş casus yazılımlar göndermek için bilinen bir yararlanma kitini kullanıyor.
Trend Micro’daki araştırmacıların Earth Minotaur olarak takip ettiği bir grup, DarkNimbus adlı bir arka kapı sunmak için ilk kez 2019’da ortaya çıkan Moonshine istismar kitini kullanıyor. Kötü amaçlı yazılım verileri çalabilir ve cihaz etkinliğini izleyebilir. ortaya çıkardılar Bugün yayınlanan bir blog gönderisinde Moonshine genellikle anlık mesajlaşma uygulamalarındaki güvenlik açıklarını hedef alıyor. Android cihazlar kötü amaçlı yazılımı teslim etmek için. Ayrıca Chromium tabanlı tarayıcılardaki bilinen birçok güvenlik açığından da yararlanıyor. Araştırmacılar, Trend Micro tarafından keşfedilen kitin en son sürümünün “güvenlik araştırmacılarının analizini caydırmak için daha yeni güvenlik açıkları ve daha fazla koruma” ile yükseltildiğini yazdı.
Saldırılar, kurbanları genellikle hükümet duyurularıyla ilgili olduğu iddia edilen gömülü kötü amaçlı bir bağlantıya tıklamaya teşvik etmeyi amaçlayan, özenle hazırlanmış mesajlar olarak başlar; COVID-19, din veya Tibetliler veya Uygurlarla ilgili hikayeler gibi ilgili Çin haber konuları; veya Çin seyahat bilgileri. Araştırmacılar, saldırganların “sosyal mühendislik saldırılarının başarısını artırmak için sohbetlerde kendilerini farklı karakterler gibi gizlediklerini” yazdı.
Nihai yük olan DarkNimbus, “kapsamlı bir Android gözetim aracıBu, virüs bulaşmış cihazdan, yüklü uygulamalardan ve coğrafi konum sistemlerinden temel bilgileri toplayarak başlıyor. Kişi listeleri, telefon görüşmesi kayıtları, SMS, pano içeriği, tarayıcı yer imleri ve birden fazla mesajlaşma uygulamasındaki konuşmalar dahil olmak üzere kişisel bilgilerin çalınmasıyla devam ediyor. Araştırmacılar, DarkNimbus’un ayrıca aramaları kaydedebileceğini, fotoğraf ve ekran görüntüleri alabileceğini, dosya işlemlerini gerçekleştirebileceğini ve komutları yürütebileceğini de ekledi.
Yeni Siber Saldırı Aktörü, Tanıdık Araçlar ve Hedefler
Araştırmacılar Earth Minotaur’un yeni bir tehdit aktörü olduğuna inanıyor, ancak grup Moonshine araç setini kullanan ilk grup değil.
“Moonshine istismar kitinin 2019’daki ilk raporunda, araç setini kullanan tehdit aktörünün adı belirtildi Zehirli Sazan,” Gönderiye göre. Ancak araştırmacılar, Dünya Minotaur’u ile o grup arasında bağlantı bulamadıklarını söyledi.
Araştırmacılar, “Arka kapı DarkNimbus 2018’de geliştirildi ancak Poison Carp’ın önceki hiçbir faaliyetinde bulunamadı” diye yazdı. “Bu nedenle bunları iki farklı izinsiz giriş seti olarak sınıflandırıyoruz.” Şu anda, vahşi ortamda tehdit aktörleri tarafından aktif olarak kullanılan en az 55 Moonshine istismar kitinin bulunduğunu söylediler.
Moonshine ilk olarak Tibet toplumuna karşı kötü niyetli bir kampanyanın parçası olarak keşfedildi ve aynı zamanda Uygurlara karşı daha önce gerçekleştirilen kötü niyetli faaliyetlerle de ilişkilendiriliyor. Araştırmacılar, her iki grubun da Çin hükümeti tarafından ayrımcılığa ve gözetime maruz kalan Çin’deki etik azınlıklar olduğunu ve her ikisinin de Dünya Minotaur’un ana hedefleri olduğunu söyledi. Grubun gelişmiş bir kalıcı tehdit (APT) olması muhtemel olsa da Çin tarafından destekleniyorAraştırmacıların kesin bir bağlantı kurmak için yeterli kanıta sahip olmadıklarını söylediler.
Kalıcı Tehditlere Karşı Savunma
Earth Minotaur’un faaliyetleri ve Moonshine kullanımı, daha önce belirlenen iki tehdit kampanyasıyla benzerlik taşıyor. 2002’de tanımlanan bir tanesi, Android kötü amaçlı yazılımını yaymak Uygurca siteler ve sosyal medya aracılığıyla Moonshine ile birlikte BadBazaar adını aldı.
BadBazaar daha sonra kötü amaçlı yazılımın dağıtıldığı çeşitli ülkelerdeki kullanıcılara yönelik daha geniş saldırılarla yeniden ortaya çıktı. Truva atı haline getirilmiş sürümler aracılığıyla Signal ve Telegram mesajlaşma uygulamalarının, Earth Minotaur’un kullandığına benzer bir saldırı vektöründe kullanıldığı görüldü.
Benzer saldırıları önlemek için Trend Micro bazı temel önerilerde bulundu. Araştırmacılar, birincisi, insanların şüpheli mesajlara gömülü bağlantılara tıklarken dikkatli olmaları, “çünkü bunlar Moonshine gibi kötü amaçlı sunucuların cihazlarını tehlikeye atmasına yol açabilir” diye yazdı.
Ayrıca Moonshine, kötü amaçlı faaliyetlerini yürütmek için kusurlardan yararlandığından, uygulamaların düzenli olarak en son sürümlere güncellenmesini de önerdiler.
Araştırmacılar, “Bu güncellemeler bilinen güvenlik açıklarına karşı koruma sağlamak için temel güvenlik iyileştirmeleri sunuyor” diye yazdı.