MOONSHINE adlı gelişmiş bir istismar kiti, kullanıcıların cihazlarına arka kapılar yerleştirmek için aktif olarak Android mesajlaşma uygulamalarını hedef alıyor.
2019’dan bu yana sürekli olarak izlenen bu araç setinin, yakın zamanda gelişmiş yeteneklere ve güvenlik analizine karşı korumalara sahip yükseltilmiş bir sürüme sahip olduğu tespit edildi.
Bu saldırıların arkasındaki tehdit aktörü Earth Minotaur, öncelikle Tibet ve Uygur topluluklarını hedef alıyor. İşleyiş tarzları şunları içerir: –
- Anlık mesajlaşma uygulamaları aracılığıyla hazırlanmış mesajlar gönderme
- Kurbanları gömülü kötü amaçlı bağlantılara tıklamaya ikna etmek
- Kurbanları MOONSHINE istismar kiti sunucularına yönlendirmek
- DarkNimbus adında çapraz platform arka kapısının kurulması
.webp)
Trend Micro’daki güvenlik uzmanları, saldırı bağlantılarının hükümet duyuruları, COVID-19 haberleri, dini bilgiler ve seyahat güncellemeleri dahil olmak üzere meşru içerik olarak gizlendiğini gözlemledi.
API güvenlik açığı ve Sızma Testi için En İyi Uygulamalar Konulu Ücretsiz Web Semineri: Ücretsiz Kayıt
Teknik Analiz
Yükseltilmiş MOONSHINE kiti birkaç gelişmiş teknik kullanır: –
- Önceden yapılandırılmış saldırı bağlantıları: Her bağlantı, maskelenmiş meşru bir bağlantı, zaman damgası ve etiket hakkında kodlanmış bilgiler içerir
- Tarayıcı sürümü doğrulaması: Açıklardan yararlanmalar yalnızca hedeflenen uygulamaların savunmasız sürümlerine iletilir
- Birden fazla Chromium kullanımı: Chromium ve Tencent Tarayıcı Sunucusunun (TBS) çeşitli sürümlerini hedefler
- Sürüm düşürme için kimlik avı: Kullanıcıları, tarayıcı motorlarının sürümünü savunmasız bir sürüme düşürmeleri için kandırmaya çalışır
Kit, WeChat, Facebook, Line ve QQ dahil olmak üzere birden fazla Android uygulamasını hedefleyebilir.
.webp)
MOONSHINE kitinin birincil yükü, hem Android hem de Windows sürümlerine sahip olan DarkNimbus arka kapısıdır: –
Android Sürümü Özellikleri:-
- Cihaz bilgilerini, yüklü uygulamaları ve coğrafi konum verilerini toplar
- Kişi listelerinden, çağrı kayıtlarından ve mesajlaşma uygulamalarından kişisel bilgileri çalar
- Çağrı kaydını, fotoğraf çekimini ve ekran kaydını destekler
- Mesajlaşma uygulamalarındaki konuşmaları izlemek için Android’in Erişilebilirlik Hizmetini kötüye kullanıyor
Windows Sürümü Özellikleri:-
- Ana bilgisayar bilgilerini, yüklü uygulamaları ve tarama geçmişini toplar
- Ekran görüntülerini ve tuş vuruşlarını yakalar
- Tarayıcı kimlik bilgilerini ve pano verilerini çalar
- Kabuk komutlarını yürütür
Her iki sürüm de benzer komut yapılarını kullanır ve veri sızdırma ve talimatları alma için komut ve kontrol (C&C) sunucularıyla iletişim kurar.
Earth Minotaur’un ayrı bir tehdit unsuru olduğuna inanılırken, MOONSHINE istismar kiti birden fazla Çin operasyonuyla ilişkilendirildi:-
- ZEHİRLİ SARP: Daha önce MOONSHINE ile ilişkiliydi ancak Dünya Minotaur’undan farklıydı.
- UNC5221: Yakın zamanda gerçekleşen Ivanti sıfır gün saldırısında MOONSHINE sunucusu kullanıldı
- Paylaşılan kötü amaçlı yazılım özelliklerine göre APT41 ve Winnti grubuna olası bağlantılar
MOONSHINE ve ilgili araçların Çinli tehdit aktörleri arasında yaygın kullanımı, siber casusluk operasyonlarında paylaşılan kaynaklar ve tekniklerden oluşan karmaşık bir ekosisteme işaret ediyor.
Bu tür saldırılara karşı korunmak için kullanıcıların şüpheli mesajlardaki bağlantılara tıklarken dikkatli olmaları ve bilinen güvenlik açıklarını azaltmak için uygulamalarını en son sürümlere güncel tutmaları gerekir.
Analyse Real-World Malware & Phishing Attacks With ANY.RUN - Get up to 3 Free Licenses