악명 높은 Chisel 모바일 악성코드

일반적으로 GRU라고 불리는 러시아 연방군 총참모부 산하 사이버 요원들이 우크라이나 내 Android 기기를 겨냥한 표적 캠페인을 시작했습니다. 이번 공격에서 그들이 선택한 무기는 최근 발견된 '악명 높은 끌'이라는 불길한 위협 툴킷입니다.

이 불쾌한 프레임워크는 해커가 Tor(Onion Router) 네트워크 내의 숨겨진 서비스를 통해 대상 장치에 대한 백도어 액세스를 허용합니다. 이 서비스는 공격자에게 로컬 파일을 검사하고, 네트워크 트래픽을 가로채고, 민감한 데이터를 추출할 수 있는 능력을 부여합니다.

우크라이나 보안국(SSU)은 먼저 위협에 대한 경보를 울렸고, Sandworm 해킹 그룹이 이 악성 코드를 사용하여 군사 명령 시스템에 침투하려는 시도를 대중에게 알렸습니다.

이후 영국 국립사이버보안센터(NCSC)와 미국 사이버보안 및 기반시설 보안국(CISA)은 Infamous Chisel의 복잡한 기술적 측면을 조사했습니다. 그들의 보고서는 이 사이버 위협에 대한 방어 조치를 강화하기 위해 그 능력을 조명하고 귀중한 통찰력을 제공합니다.

악명 높은 끌은 광범위한 유해 기능을 자랑합니다.

Infamous Chisel은 Tor 네트워크를 통해 손상된 Android 장치에 대한 지속적인 제어를 설정하도록 설계된 여러 구성 요소로 인해 손상되었습니다. 주기적으로 감염된 장치에서 피해자 데이터를 수집하고 전송합니다.

장치에 성공적으로 침투하면 중앙 구성 요소인 'netd'가 제어권을 맡고 일련의 명령과 셸 스크립트를 수행할 준비가 됩니다. 지속적인 지속성을 보장하기 위해 합법적인 'netd' Android 시스템 바이너리를 대체합니다.

이 악성 코드는 Android 기기를 손상시키고 우크라이나 군대와 관련된 정보 및 애플리케이션을 꼼꼼하게 검사하도록 특별히 설계되었습니다. 획득한 모든 데이터는 가해자의 서버로 전달됩니다.

전송된 파일의 중복을 방지하기 위해 '.google.index'라는 숨겨진 파일은 MD5 해시를 사용하여 전송된 데이터를 감시합니다. 시스템 용량은 16,384개 파일로 제한되어 있으므로 이 임계값을 초과하면 중복 파일이 유출될 수 있습니다.

Infamous Chisel은 .dat, .bak, .xml, .txt, .ovpn, .xml, wa.db, msgstore.db, .pdf, .xlsx를 포함한 광범위한 목록을 대상으로 파일 확장자와 관련하여 광범위한 그물을 던집니다. , .csv, .zip, telephony.db, .png, .jpg, .jpeg, .kme, 데이터베이스.hik, 데이터베이스.hik-journal, ezvizlog.db, 캐시4.db, Contacts2.db, .ocx, .gz , .rar, .tar, .7zip, .zip, .kmz, locksettings.db, mmssms.db, telephony.db, signal.db, mmssms.db, profile.db, account.db, PyroMsg.DB, .exe , .kml. 또한 장치의 내부 메모리와 사용 가능한 SD 카드를 검색하여 데이터 탐색에 돌입하지 않습니다.

공격자는 악명 높은 끌을 사용하여 민감한 데이터를 얻을 수 있습니다

Infamous Chisel 악성 코드는 Android의 /data/ 디렉토리 내에서 포괄적인 검사를 수행하여 Google Authenticator, OpenVPN Connect, PayPal, Viber, WhatsApp, Signal, Telegram, Gmail, Chrome, Firefox, Brave, Microsoft One Cloud, Android Contacts와 같은 애플리케이션을 찾습니다. 및 기타 배열.

더욱이, 이 위협적인 소프트웨어는 하드웨어 정보를 수집하고 LAN에서 스캔을 수행하여 열려 있는 포트와 활성 호스트를 식별하는 기능을 보유하고 있습니다. 공격자는 무작위로 생성된 .ONION 도메인을 통해 경로가 재설정되는 SOCKS 및 SSH 연결을 통해 원격 액세스를 얻을 수 있습니다.

파일 및 장치 데이터 유출은 정기적인 간격으로, 정확히 하루에 해당하는 86,000초마다 발생합니다. LAN 검색 활동은 이틀마다 발생하는 반면 매우 민감한 군사 데이터 추출은 600초 간격(10분마다)으로 훨씬 더 자주 수행됩니다.

또한 원격 액세스를 용이하게 하는 Tor 서비스의 구성 및 실행은 6,000초마다 발생하도록 예약되어 있습니다. 악성코드는 네트워크 연결을 유지하기 위해 3분마다 'geodatatoo(dot)com' 도메인을 검사합니다.

Infamous Chisel 악성 코드는 은밀성을 우선시하지 않는다는 점은 주목할 가치가 있습니다. 대신 신속한 데이터 유출과 더 가치 있는 군사 네트워크로 빠르게 이동하는 데 훨씬 더 관심이 있는 것으로 보입니다.