Operasi ancaman dunia maya yang baru teridentifikasi menggunakan kit eksploitasi yang dikenal untuk menargetkan kerentanan keamanan di aplikasi WeChat yang populer, untuk mengirimkan spyware yang sebelumnya tidak dilaporkan ke perangkat Android dan Windows milik komunitas etnis minoritas Tibet dan Uyghur di Tiongkok.
Sebuah kelompok yang dilacak oleh para peneliti di Trend Micro saat Earth Minotaur menggunakan kit eksploitasi Moonshine, yang pertama kali muncul pada tahun 2019, untuk mengirimkan pintu belakang yang disebut DarkNimbus. Malware dapat mencuri data dan memantau aktivitas perangkat, mereka mengungkapkan dalam postingan blog yang diterbitkan hari ini, sementara Moonshine biasanya menargetkan kerentanan pada aplikasi perpesanan instan Perangkat Android untuk mengirimkan malware. Itu juga mengeksploitasi beberapa kerentanan yang diketahui di browser berbasis Chromium. Versi terbaru dari perangkat yang ditemukan oleh Trend Micro telah ditingkatkan dengan “kerentanan yang lebih baru dan perlindungan yang lebih banyak untuk menghalangi analisis peneliti keamanan,” tulis para peneliti.
Serangan tersebut dimulai dengan pesan yang dibuat dengan hati-hati yang bertujuan untuk memikat korban agar mengklik tautan berbahaya yang tertanam, yang biasanya diklaim terkait dengan pengumuman pemerintah; topik berita Tiongkok yang relevan, seperti COVID-19, agama, atau cerita tentang orang Tibet atau Uighur; atau informasi perjalanan Tiongkok. Penyerang “menyamarkan diri mereka sebagai karakter berbeda dalam obrolan untuk meningkatkan keberhasilan serangan rekayasa sosial mereka,” tulis para peneliti.
Payload terhebat, DarkNimbus, adalah “Android yang komprehensif alat pengawasan” yang dimulai dengan mengumpulkan informasi dasar dari perangkat yang terinfeksi, aplikasi yang diinstal, dan sistem geolokasi. Kemudian mencuri informasi pribadi, termasuk daftar kontak, catatan panggilan telepon, SMS, konten papan klip, penanda browser, dan percakapan dari beberapa aplikasi perpesanan. DarkNimbus juga dapat merekam panggilan, mengambil foto dan tangkapan layar, mengoperasikan file, dan menjalankan perintah, tambah para peneliti.
Aktor Serangan Siber Baru, Alat & Target yang Dikenal
Para peneliti percaya bahwa Earth Minotaur adalah aktor ancaman baru, meskipun kelompok tersebut bukanlah yang pertama menggunakan perangkat Moonshine, tulis mereka.
“Dalam laporan pertama kit eksploitasi Moonshine pada tahun 2019, pelaku ancaman yang menggunakan perangkat tersebut telah disebutkan ikan mas beracun,” menurut postingan tersebut. Namun, para peneliti tidak menemukan hubungan antara Minotaur Bumi dan kelompok tersebut, kata mereka.
“Pintu belakang DarkNimbus telah dikembangkan pada tahun 2018 tetapi tidak ditemukan dalam aktivitas Poison Carp sebelumnya,” tulis para peneliti. Oleh karena itu, kami mengkategorikannya sebagai dua set intrusi yang berbeda. Saat ini, setidaknya ada 55 perangkat eksploitasi Moonshine yang secara aktif digunakan oleh pelaku ancaman di alam liar, kata mereka.
Moonshine pertama kali ditemukan sebagai bagian dari kampanye jahat terhadap komunitas Tibet, dan juga dikaitkan dengan aktivitas jahat sebelumnya terhadap Uyghur. Kedua kelompok tersebut merupakan kelompok etnis minoritas di Tiongkok yang menghadapi diskriminasi dan pengawasan oleh pemerintah Tiongkok, dan keduanya merupakan target utama Minotaur Bumi, kata para peneliti. Meskipun kemungkinan besar kelompok tersebut adalah ancaman persisten tingkat lanjut (APT) didukung oleh Tiongkokpara peneliti tidak memiliki cukup bukti untuk membuat hubungan yang pasti, kata mereka.
Bertahan Melawan Ancaman yang Terus Menerus
Aktivitas Earth Minotaur dan penggunaan Moonshine memiliki kesamaan dengan dua kampanye ancaman yang diidentifikasi sebelumnya. Satu, diidentifikasi pada tahun 2002, menyebarkan malware Android disebut BadBazaar bersama dengan Moonshine melalui situs berbahasa Uyghur dan media sosial.
BadBazaar kemudian muncul kembali dalam serangan yang lebih luas terhadap pengguna di beberapa negara yang mengirimkan malware tersebut melalui versi Trojan dari aplikasi perpesanan Signal dan Telegram, dalam vektor serangan yang mirip dengan yang digunakan oleh Earth Minotaur.
Untuk mencegah serangan serupa, Trend Micro menyarankan beberapa hal mendasar. Pertama, agar orang-orang berhati-hati saat mengeklik tautan yang tertanam pada pesan mencurigakan, “karena hal ini dapat menyebabkan server jahat seperti milik Moonshine membahayakan perangkat mereka,” tulis para peneliti.
Mereka juga merekomendasikan untuk memperbarui aplikasi secara rutin ke versi terbaru, karena Moonshine memanfaatkan kelemahan untuk melakukan aktivitas jahatnya.
“Pembaruan ini menawarkan peningkatan keamanan penting untuk melindungi dari kerentanan yang diketahui,” tulis para peneliti.
