Hírhedt Chisel Mobile Malware

Az Orosz Föderáció Fegyveres Erők Vezérkarának Főigazgatóságához (közkeletű nevén GRU-hoz) kapcsolódó kiberügynökök célzott kampányt indítottak Android-eszközökre Ukrajnán belül. Választott fegyverük ebben az offenzívában egy nemrég felfedezett és baljóslatú fenyegető eszközkészlet, amelyet „Hírhedt Vésőnek” neveztek el.

Ez a csúnya keretrendszer lehetővé teszi a hackerek számára, hogy a The Onion Router (Tor) hálózaton belüli rejtett szolgáltatáson keresztül hozzáférjenek a megcélzott eszközökhöz. Ez a szolgáltatás lehetővé teszi a támadók számára, hogy átvizsgálják a helyi fájlokat, elfogják a hálózati forgalmat és kivonják az érzékeny adatokat.

Először az Ukrán Biztonsági Szolgálat (SSU) kongatta meg a vészharangot a fenyegetéssel kapcsolatban, figyelmeztetve a nyilvánosságot a Sandworm hackercsoport azon törekvésére, hogy ezzel a kártevővel behatoljon a katonai parancsnoki rendszerekbe.

Ezt követően az Egyesült Királyság Nemzeti Kiberbiztonsági Központja (NCSC) és az Egyesült Államok Kiberbiztonsági és Infrastruktúrabiztonsági Ügynöksége (CISA) is beleásta magát a hírhedt véső bonyolult technikai vonatkozásaiba. Jelentéseik rávilágítanak a képességeire, és felbecsülhetetlen értékű betekintést nyújtanak a kiberfenyegetés elleni védekezési intézkedések megerősítésére.

A hírhedt véső a káros tulajdonságok széles skálájával büszkélkedhet

A hírhedt véső számos olyan összetevőből áll, amelyek célja, hogy a Tor hálózaton keresztül állandó irányítást biztosítsanak a veszélyeztetett Android-eszközök felett. Időnként összegyűjti és továbbítja az áldozatok adatait a fertőzött eszközökről.

Amikor sikeresen behatol egy eszközbe, a központi komponens, a „netd” átveszi az irányítást, és készen áll egy sor parancs és shell szkript végrehajtására. A tartós kitartás érdekében kiszorítja a legitim „netd” Android rendszerbinárist.

Ezt a rosszindulatú programot kifejezetten az Android-eszközök feltörésére és az ukrán hadsereggel kapcsolatos információk és alkalmazások aprólékos átvizsgálására tervezték. Az összes megszerzett adatot ezután továbbítják az elkövető szervereire.

Az elküldött fájlok megkettőzésének megakadályozása érdekében a „.google.index” nevű rejtett fájl MD5-kivonatokat alkalmaz a továbbított adatok nyomon követésére. A rendszer kapacitása 16 384 fájlban van korlátozva, így a duplikátumok e küszöbön túl is kiszűrhetők.

A hírhedt véső széles hálót vet a fájlkiterjesztések terén, és egy kiterjedt listát céloz meg, beleértve a .dat, .bak, .xml, .txt, .ovpn, .xml, wa.db, msgstore.db, .pdf, .xlsx fájlokat. , .csv, .zip, telephony.db, .png, .jpg, .jpeg, .kme, database.hik, database.hik-journal, ezvizlog.db, cache4.db, contacts2.db, .ocx, .gz , .rar, .tar, .7zip, .zip, .kmz, locksettings.db, mmssms.db, telephony.db, signal.db, mmssms.db, profile.db, accounts.db, PyroMsg.DB, .exe , .kml. Ezen túlmenően átvizsgálja az eszköz belső memóriáját és az összes rendelkezésre álló SD-kártyát, így az adatok keresése során nem marad kő kőbe vésve.

A támadók a hírhedt vésőt használhatják érzékeny adatok megszerzésére

Az Infamous Chisel malware átfogó vizsgálatot végez az Android /data/ könyvtárában, és olyan alkalmazásokat keres, mint a Google Authenticator, OpenVPN Connect, PayPal, Viber, WhatsApp, Signal, Telegram, Gmail, Chrome, Firefox, Brave, Microsoft One Cloud, Android Contacts. , és egy sor mások.

Ezenkívül ez a fenyegető szoftver képes hardverinformációkat gyűjteni, és vizsgálatokat végezni a helyi hálózaton a nyitott portok és az aktív gazdagépek azonosítása érdekében. A támadók távoli hozzáférést kaphatnak a SOCKS-on és egy SSH-kapcsolaton keresztül, amelyet egy véletlenszerűen generált .ONION tartományon keresztül irányítanak át.

A fájlok és eszközadatok kiszűrése rendszeres időközönként, pontosan 86 000 másodpercenként történik, ami egy napnak felel meg. A LAN szkennelési tevékenységek kétnaponta történnek, míg a rendkívül érzékeny katonai adatok kinyerése sokkal gyakrabban, 600 másodperces időközönként (10 percenként) történik.

Ezenkívül a távoli hozzáférést elősegítő Tor-szolgáltatások konfigurálása és végrehajtása 6000 másodpercenként történik. A hálózati kapcsolat fenntartása érdekében a rosszindulatú program 3 percenként ellenőrzi a „geodatatoo(dot)com” domaint.

Érdemes megjegyezni, hogy az Infamous Chisel malware nem a lopakodást részesíti előnyben; ehelyett a jelek szerint sokkal jobban érdekli az adatok gyors kiszűrése és a gyors elmozdulás az értékesebb katonai hálózatok felé.