Beruchte mobiele malware voor beitel

Cyberagenten verbonden aan het hoofddirectoraat van de generale staf van de strijdkrachten van de Russische Federatie, gewoonlijk GRU genoemd, zijn een gerichte campagne gestart gericht op Android-apparaten in Oekraïne. Hun favoriete wapen in dit offensief is een onlangs ontdekt en onheilspellend bedreigend gereedschapskistje genaamd de 'Beruchte beitel'.

Dit vervelende raamwerk biedt de hackers achterdeurtoegang tot de beoogde apparaten via een verborgen service binnen het The Onion Router (Tor) netwerk. Deze service geeft aanvallers de mogelijkheid om lokale bestanden te scannen, netwerkverkeer te onderscheppen en gevoelige gegevens te extraheren.

De Oekraïense veiligheidsdienst (SSU) sloeg eerst alarm over de dreiging en waarschuwde het publiek voor de pogingen van de Sandworm-hackgroep om met behulp van deze malware militaire commandosystemen te infiltreren.

Daarna hebben zowel het Britse National Cyber Security Center (NCSC) als de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) zich verdiept in de ingewikkelde technische aspecten van de beruchte beitel. Hun rapporten werpen licht op de capaciteiten van het bedrijf en leveren inzichten van onschatbare waarde om de verdedigingsmaatregelen tegen deze cyberdreiging te versterken.

De beruchte beitel beschikt over een breed scala aan schadelijke eigenschappen

De Infamous Chisel is gecompromitteerd door verschillende componenten die zijn ontworpen om blijvende controle te krijgen over gecompromitteerde Android-apparaten via het Tor-netwerk. Periodiek verzamelt en verzendt het slachtoffergegevens van de geïnfecteerde apparaten.

Nadat een apparaat met succes is geïnfiltreerd, neemt de centrale component, 'netd', de controle over en staat klaar om een reeks opdrachten en shellscripts uit te voeren. Om blijvende persistentie te garanderen, vervangt het het legitieme 'netd' binaire Android-systeem.

Deze malware is specifiek ontworpen om Android-apparaten te compromitteren en nauwgezet te scannen op informatie en applicaties met betrekking tot het Oekraïense leger. Alle verkregen gegevens worden vervolgens doorgestuurd naar de servers van de dader.

Om duplicatie van verzonden bestanden te voorkomen, maakt een verborgen bestand met de naam '.google.index' gebruik van MD5-hashes om de verzonden gegevens bij te houden. De capaciteit van het systeem is beperkt tot 16.384 bestanden, dus duplicaten kunnen buiten deze drempel worden geëxfiltreerd.

De Infamous Chisel werpt een breed net uit als het gaat om bestandsextensies en richt zich op een uitgebreide lijst, waaronder .dat, .bak, .xml, .txt, .ovpn, .xml, wa.db, msgstore.db, .pdf, .xlsx , .csv, .zip, telefonie.db, .png, .jpg, .jpeg, .kme, database.hik, database.hik-journal, ezvizlog.db, cache4.db, contacts2.db, .ocx, .gz , .rar, .tar, .7zip, .zip, .kmz, locksettings.db, mmssms.db, telefonie.db, signaal.db, mmssms.db, profile.db, accounts.db, PyroMsg.DB, .exe , .kml. Bovendien scant het het interne geheugen van het apparaat en eventuele beschikbare SD-kaarten, waardoor er geen middel onbeproefd blijft in zijn zoektocht naar gegevens.

Aanvallers kunnen de beruchte beitel gebruiken om gevoelige gegevens te verkrijgen

De Infamous Chisel-malware voert een uitgebreide scan uit in de /data/ map van Android, op zoek naar applicaties zoals Google Authenticator, OpenVPN Connect, PayPal, Viber, WhatsApp, Signal, Telegram, Gmail, Chrome, Firefox, Brave, Microsoft One Cloud, Android Contacts , en een reeks anderen.

Bovendien bezit deze bedreigende software het vermogen om hardware-informatie te verzamelen en scans uit te voeren op het lokale netwerk om open poorten en actieve hosts te identificeren. Aanvallers kunnen externe toegang krijgen via SOCKS en een SSH-verbinding, die wordt omgeleid via een willekeurig gegenereerd .ONION-domein.

De exfiltratie van bestanden en apparaatgegevens vindt met regelmatige tussenpozen plaats, precies elke 86.000 seconden, het equivalent van één dag. LAN-scanactiviteiten vinden elke twee dagen plaats, terwijl het extraheren van zeer gevoelige militaire gegevens veel vaker plaatsvindt, met tussenpozen van 600 seconden (elke 10 minuten).

Bovendien zal de configuratie en uitvoering van Tor-services die toegang op afstand mogelijk maken, elke 6.000 seconden plaatsvinden. Om de netwerkconnectiviteit te behouden, voert de malware elke drie minuten controles uit op het 'geodatatoo(dot)com'-domein.

Het is vermeldenswaard dat de Infamous Chisel-malware geen prioriteit geeft aan stealth; in plaats daarvan lijkt het veel meer geïnteresseerd te zijn in snelle data-exfiltratie en het snel evolueren naar waardevollere militaire netwerken.