Ünlü Chisel Mobil Kötü Amaçlı Yazılım

Halk arasında GRU olarak anılan Rusya Federasyonu Silahlı Kuvvetleri Genelkurmay Başkanlığı Ana Müdürlüğü'ne bağlı siber ajanlar, Ukrayna'daki Android cihazları hedefleyen hedefli bir kampanya başlattı. Bu saldırıda seçtikleri silah, yakın zamanda keşfedilen ve 'Rezil Keski' adı verilen uğursuz tehdit edici bir alet takımıdır.

Bu kötü çerçeve, bilgisayar korsanlarına Onion Router (Tor) ağı içindeki gizli bir hizmet aracılığıyla hedeflenen cihazlara arka kapı erişimi sağlıyor. Bu hizmet, saldırganlara yerel dosyaları tarama, ağ trafiğine müdahale etme ve hassas verileri ayıklama yeteneği verir.

Ukrayna Güvenlik Servisi (SSU), tehditle ilgili ilk alarmı vererek halkı Sandworm hack grubunun bu kötü amaçlı yazılımı kullanarak askeri komuta sistemlerine sızma çabaları konusunda uyardı.

Daha sonra hem Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC) hem de ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Ünlü Keski'nin karmaşık teknik yönlerini derinlemesine inceledi. Raporları, yeteneklerine ışık tutuyor ve bu siber tehdide karşı savunma önlemlerini desteklemek için paha biçilmez bilgiler sağlıyor.

Ünlü Keski, Çok Çeşitli Zararlı Yeteneklere Sahiptir

Infamous Chisel, Tor ağı aracılığıyla güvenliği ihlal edilmiş Android cihazlar üzerinde kalıcı kontrol sağlamak üzere tasarlanmış çeşitli bileşenlerden oluşur. Periyodik olarak, virüs bulaşmış cihazlardan kurban verilerini toplar ve aktarır.

Bir cihaza başarıyla sızıldığında, merkezi bileşen 'netd' kontrolü üstlenir ve bir dizi komutu ve kabuk komut dosyasını gerçekleştirmeye hazır hale gelir. Kalıcı kalıcılığı sağlamak için meşru 'netd' Android sistem ikili dosyasının yerini alır.

Bu kötü amaçlı yazılım, özellikle Android cihazları tehlikeye atmak ve Ukrayna ordusuyla ilgili bilgi ve uygulamaları titizlikle taramak için tasarlanmıştır. Elde edilen tüm veriler daha sonra failin sunucularına iletilir.

Gönderilen dosyaların kopyalanmasını önlemek amacıyla '.google.index' adlı gizli bir dosya, iletilen verileri takip etmek için MD5 karmalarını kullanır. Sistemin kapasitesi 16.384 dosyayla sınırlıdır, dolayısıyla kopyalar bu eşiğin ötesine sızabilir.

Infamous Chisel, dosya uzantıları söz konusu olduğunda geniş bir ağ oluşturur ve .dat, .bak, .xml, .txt, .ovpn, .xml, wa.db, msgstore.db, .pdf, .xlsx dahil olmak üzere kapsamlı bir listeyi hedefler. , .csv, .zip, telefon.db, .png, .jpg, .jpeg, .kme, veritabanı.hik, veritabanı.hik-journal, ezvizlog.db, önbellek4.db, kişiler2.db, .ocx, .gz , .rar, .tar, .7zip, .zip, .kmz, locksettings.db, mmssms.db, telephony.db, signal.db, mmssms.db, profile.db, account.db, PyroMsg.DB, .exe , .kml. Ayrıca, cihazın dahili belleğini ve mevcut tüm SD kartlarını tarar ve veri arayışında çevrilmemiş hiçbir taş bırakmaz.

Saldırganlar, Hassas Verileri Elde Etmek İçin Ünlü Keskiyi Kullanabilir

Kötü şöhretli Chisel kötü amaçlı yazılımı Android'in /data/ dizininde kapsamlı bir tarama gerçekleştirerek Google Authenticator, OpenVPN Connect, PayPal, Viber, WhatsApp, Signal, Telegram, Gmail, Chrome, Firefox, Brave, Microsoft One Cloud, Android Contacts gibi uygulamaları arar. ve bir dizi diğerleri.

Üstelik bu tehdit edici yazılım, açık bağlantı noktalarını ve aktif ana bilgisayarları belirlemek için donanım bilgilerini toplama ve yerel alan ağında tarama yapma yeteneğine de sahiptir. Saldırganlar, SOCKS ve rastgele oluşturulmuş bir .ONION alanı üzerinden yeniden yönlendirilen bir SSH bağlantısı aracılığıyla uzaktan erişim elde edebilir.

Dosyaların ve cihaz verilerinin sızdırılması düzenli aralıklarla, tam olarak her 86.000 saniyede bir, yani bir güne denk gelir. LAN tarama faaliyetleri iki günde bir gerçekleşirken, yüksek hassasiyete sahip askeri verilerin çıkarılması çok daha sık, 600 saniyelik aralıklarla (10 dakikada bir) gerçekleştiriliyor.

Ayrıca, uzaktan erişimi kolaylaştıran Tor hizmetlerinin yapılandırılması ve yürütülmesinin her 6.000 saniyede bir gerçekleşmesi planlanıyor. Kötü amaçlı yazılım, ağ bağlantısını sürdürmek için her 3 dakikada bir 'geodatatoo(dot)com' alanında kontroller gerçekleştirir.

Infamous Chisel kötü amaçlı yazılımının gizliliğe öncelik vermediğini belirtmekte fayda var; bunun yerine hızlı veri sızdırma ve hızla daha değerli askeri ağlara doğru ilerlemeyle çok daha fazla ilgileniyor gibi görünüyor.