Neslávne známy Chisel Mobile Malware

Kybernetickí agenti pridružení k Hlavnému riaditeľstvu Generálneho štábu Ozbrojených síl Ruskej federácie, bežne označovaní ako GRU, iniciovali cielenú kampaň zameranú na zariadenia s Androidom na Ukrajine. Ich zbraňou pri tejto ofenzíve je nedávno objavený a zlovestný výhražný nástroj nazvaný „Neslávne známy sekáč“.

Tento škaredý rámec poskytuje hackerom zadný prístup k cieľovým zariadeniam prostredníctvom skrytej služby v rámci siete The Onion Router (Tor). Táto služba poskytuje útočníkom možnosť skenovať lokálne súbory, zachytávať sieťovú prevádzku a extrahovať citlivé údaje.

Ukrajinská bezpečnostná služba (SSU) najprv vyhlásila poplach pred hrozbou a upozornila verejnosť na snahy hackerskej skupiny Sandworm infiltrovať vojenské veliteľské systémy pomocou tohto malvéru.

Potom sa Národné centrum kybernetickej bezpečnosti Spojeného kráľovstva (NCSC) aj Americká agentúra pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry (CISA) ponorili do zložitých technických aspektov Neslávneho sekáča. Ich správy objasňujú jeho schopnosti a poskytujú neoceniteľné poznatky na posilnenie obranných opatrení proti tejto kybernetickej hrozbe.

Neslávne známy sekáč sa môže pochváliť širokou škálou škodlivých schopností

Infamous Chisel je kompromitovaný niekoľkými komponentmi navrhnutými na vytvorenie trvalej kontroly nad napadnutými zariadeniami Android prostredníctvom siete Tor. Pravidelne zhromažďuje a prenáša údaje obetí z infikovaných zariadení.

Po úspešnom preniknutí do zariadenia centrálny komponent, 'netd, prevezme kontrolu a je pripravený vykonať súbor príkazov a shell skriptov. Na zabezpečenie trvalej perzistencie nahrádza legitímny binárny systém Android „netd“.

Tento malvér je špeciálne navrhnutý na kompromitovanie zariadení so systémom Android a na starostlivé vyhľadávanie informácií a aplikácií týkajúcich sa ukrajinskej armády. Všetky získané údaje sa následne preposielajú na servery páchateľa.

Aby sa predišlo duplikácii odosielaných súborov, skrytý súbor s názvom '.google.index' využíva hodnoty hash MD5, aby mal prehľad o prenášaných údajoch. Kapacita systému je obmedzená na 16 384 súborov, takže duplikáty môžu byť odstránené aj za touto hranicou.

Neslávny sekáč vrhá širokú sieť, pokiaľ ide o prípony súborov, a zameriava sa na rozsiahly zoznam vrátane .dat, .bak, .xml, .txt, .ovpn, .xml, wa.db, msgstore.db, .pdf, .xlsx , .csv, .zip, telephony.db, .png, .jpg, .jpeg, .kme, database.hik, database.hik-journal, ezvizlog.db, cache4.db, contacts2.db, .ocx, .gz , .rar, .tar, .7zip, .zip, .kmz, locksettings.db, mmssms.db, telephony.db, signal.db, mmssms.db, profile.db, accounts.db, PyroMsg.DB, .exe , .kml. Okrem toho skenuje internú pamäť zariadenia a všetky dostupné SD karty, takže pri pátraní po dátach nezostane kameň na kameni.

Útočníci môžu použiť Neslávny sekáč na získanie citlivých údajov

Malvér Infamous Chisel vykonáva komplexnú kontrolu v adresári /data/ Androidu, pričom hľadá aplikácie ako Google Authenticator, OpenVPN Connect, PayPal, Viber, WhatsApp, Signal, Telegram, Gmail, Chrome, Firefox, Brave, Microsoft One Cloud, Android Contacts. a celý rad ďalších.

Okrem toho má tento hrozivý softvér schopnosť zhromažďovať informácie o hardvéri a vykonávať skenovanie v lokálnej sieti na identifikáciu otvorených portov a aktívnych hostiteľov. Útočníci môžu získať vzdialený prístup cez SOCKS a pripojenie SSH, ktoré je presmerované cez náhodne vygenerovanú doménu .ONION.

K exfiltrácii súborov a údajov zariadenia dochádza v pravidelných intervaloch, presne každých 86 000 sekúnd, čo je ekvivalent jedného dňa. Skenovanie LAN prebieha každé dva dni, zatiaľ čo extrakcia vysoko citlivých vojenských údajov prebieha oveľa častejšie, v intervaloch 600 sekúnd (každých 10 minút).

Okrem toho sa konfigurácia a vykonávanie služieb Tor, ktoré uľahčujú vzdialený prístup, plánujú každých 6 000 sekúnd. Na udržanie sieťového pripojenia vykonáva malvér kontroly domény „geodatatoo(dot)com“ každé 3 minúty.

Stojí za zmienku, že malvér Infamous Chisel neuprednostňuje utajenie; namiesto toho sa zdá, že sa oveľa viac zaujíma o rýchlu exfiltráciu údajov a rýchly prechod k hodnotnejším vojenským sieťam.