Sebuah cluster aktivitas ancaman yang sebelumnya tidak terdokumentasikan dijuluki Minotaur Bumi memanfaatkan kit eksploitasi MOONSHINE dan pintu belakang Android-cum-Windows yang tidak dilaporkan yang disebut DarkNimbus untuk memfasilitasi operasi pengawasan jangka panjang yang menargetkan warga Tibet dan Uyghur.
“Earth Minotaur menggunakan MOONSHINE untuk mengirimkan pintu belakang DarkNimbus ke perangkat Android dan Windows, menargetkan WeChat, dan mungkin menjadikannya ancaman lintas platform,” kata peneliti Trend Micro Joseph C Chen dan Daniel Lunghi dalam analisis yang diterbitkan hari ini.
“MOONSHINE mengeksploitasi beberapa kerentanan yang diketahui di browser dan aplikasi berbasis Chromium, mengharuskan pengguna memperbarui perangkat lunak secara berkala untuk mencegah serangan.”
Negara-negara yang terkena dampak serangan Earth Minotaur meliputi Australia, Belgia, Kanada, Prancis, Jerman, India, Italia, Jepang, Nepal, Belanda, Norwegia, Rusia, Spanyol, Swiss, Taiwan, Turki, dan AS
MOONSHINE pertama kali terungkap pada bulan September 2019 sebagai bagian dari serangan dunia maya yang menargetkan komunitas Tibet, dan Citizen Lab mengaitkan penggunaannya dengan operator yang dilacaknya dengan nama POISON CARP, yang tumpang tindih dengan kelompok ancaman Earth Empusa dan Evil Eye.
Kit eksploitasi berbasis Android, diketahui memanfaatkan berbagai eksploitasi browser Chrome dengan tujuan menyebarkan muatan yang dapat menyedot data sensitif dari perangkat yang disusupi. Khususnya, ia menyertakan kode untuk menargetkan berbagai aplikasi seperti Google Chrome, Naver, dan aplikasi pesan instan seperti LINE, QQ, WeChat, dan Zalo yang menyematkan browser dalam aplikasi.
Earth Minotaur, menurut Trend Micro, tidak memiliki koneksi langsung ke Earth Empusa. Terutama menargetkan komunitas Tibet dan Uyghur, pelaku ancaman diketahui menggunakan versi MOONSHINE yang ditingkatkan untuk menyusup ke perangkat korban dan kemudian menginfeksi mereka dengan DarkNimbus.
Varian baru ini menambah persenjataan eksploitasinya CVE-2020-6418, sebuah kerentanan kebingungan tipe pada mesin JavaScript V8 yang ditambal Google pada bulan Februari 2020 menyusul laporan bahwa varian tersebut telah dijadikan senjata sebagai zero-day.
“Minotaur Bumi mengirimkan pesan yang dibuat dengan hati-hati melalui aplikasi pesan instan untuk membujuk korban agar mengklik tautan berbahaya yang tertanam,” kata para peneliti. “Mereka menyamar sebagai karakter berbeda dalam obrolan untuk meningkatkan keberhasilan serangan rekayasa sosial mereka.”
Tautan palsu mengarah ke salah satu dari setidaknya 55 server kit eksploitasi MOONSHINE yang menangani pemasangan pintu belakang DarkNimbus pada perangkat target.
Dalam upaya penipuan yang cerdik, URL-URL ini menyamar sebagai tautan yang tampaknya tidak berbahaya, berpura-pura menjadi pengumuman terkait Tiongkok atau terkait dengan video online musik dan tarian orang Tibet atau Uighur.
“Ketika korban mengklik tautan serangan dan diarahkan ke server kit eksploitasi, ia bereaksi berdasarkan pengaturan yang tertanam,” kata Trend Micro. “Server akan mengarahkan korban ke tautan sah yang disamarkan setelah serangan selesai agar korban tidak menyadari adanya aktivitas yang tidak biasa.”
Dalam situasi di mana browser Tencent berbasis Chromium tidak rentan terhadap eksploitasi apa pun yang didukung oleh MOONSHINE, server kit dikonfigurasi untuk mengembalikan halaman phishing yang memperingatkan pengguna WeChat bahwa browser dalam aplikasi (versi khusus Android WebView disebut XWalk) sudah kedaluwarsa dan perlu diperbarui dengan mengeklik tautan unduhan yang disediakan.
Hal ini mengakibatkan serangan penurunan versi mesin browser, sehingga memungkinkan pelaku ancaman memanfaatkan kerangka MOONSHINE dengan mengeksploitasi kelemahan keamanan yang belum ditambal.
Serangan yang berhasil menyebabkan versi XWalk yang telah di trojan ditanamkan pada perangkat Android dan menggantikan versi sahnya dalam aplikasi WeChat, yang pada akhirnya membuka jalan bagi eksekusi DarkNimbus.
Diyakini telah dikembangkan dan diperbarui secara aktif sejak tahun 2018, pintu belakang menggunakan protokol XMPP untuk berkomunikasi dengan server yang dikendalikan penyerang dan mendukung daftar perintah lengkap untuk menyedot informasi berharga, termasuk metadata perangkat, tangkapan layar, penanda browser, riwayat panggilan telepon, kontak, pesan SMS, geolokasi, file, konten papan klip, dan daftar aplikasi yang diinstal.
Ia juga mampu menjalankan perintah shell, merekam panggilan telepon, mengambil gambar, dan menyalahgunakan izin layanan aksesibilitas Android untuk mengumpulkan pesan dari DingTalk, MOMO, QQ, Skype, TalkBox, Voxer, WeChat, dan WhatsApp. Yang terakhir, ia dapat menghapus instalannya sendiri dari ponsel yang terinfeksi.
Trend Micro mengatakan pihaknya juga mendeteksi DarkNimbus versi Windows yang kemungkinan dibuat antara Juli dan Oktober 2019 tetapi baru digunakan lebih dari setahun kemudian pada Desember 2020.
Ini tidak memiliki banyak fitur dari varian Android-nya, namun menggabungkan berbagai perintah untuk mengumpulkan informasi sistem, daftar aplikasi yang diinstal, penekanan tombol, data clipboard, kredensial yang disimpan dan riwayat dari browser web, serta membaca dan mengunggah konten file .
Meskipun asal muasal pasti dari Earth Minotaur saat ini masih belum jelas, keragaman dalam rantai infeksi yang diamati dikombinasikan dengan alat malware yang sangat mumpuni tidak meninggalkan keraguan bahwa ini adalah aktor ancaman yang canggih.
“MOONSHINE adalah perangkat yang masih dalam pengembangan dan telah dibagikan dengan berbagai pelaku ancaman termasuk Earth Minotaur, POISON CARP, UNC5221, dan lainnya,” teori Trend Micro.
