臭名昭著的 Chisel 移动恶意软件

隶属于俄罗斯联邦武装部队总参谋部（通常称为 GRU）的网络特工发起了一场针对乌克兰境内 Android 设备的有针对性的活动。他们在这次进攻中选择的武器是最近发现的一种不祥的威胁工具包，被称为“臭名昭著的凿子”。

这个令人讨厌的框架为黑客提供了通过洋葱路由器 (Tor) 网络中的隐藏服务访问目标设备的后门。该服务使攻击者能够扫描本地文件、拦截网络流量和提取敏感数据。

乌克兰安全局 (SSU) 首先就这一威胁发出警报，提醒公众注意 Sandworm 黑客组织试图使用该恶意软件渗透军事指挥系统。

随后，英国国家网络安全中心（NCSC）和美国网络安全和基础设施安全局（CISA）都深入研究了 Inknown Chisel 的复杂技术问题。他们的报告揭示了其能力，并为加强针对这种网络威胁的防御措施提供了宝贵的见解。

臭名昭著的凿子具有多种有害功能

Inknown Chisel 由多个组件组成，这些组件旨在通过 Tor 网络对受感染的 Android 设备建立持久控制。它定期从受感染的设备收集和传输受害者数据。

成功渗透设备后，中央组件“netd”将取得控制权并准备好执行一组命令和 shell 脚本。为了确保持久性，它取代了合法的“netd”Android 系统二进制文件。

该恶意软件专门设计用于危害 Android 设备并仔细扫描与乌克兰军方有关的信息和应用程序。然后，所有获取的数据都会转发到犯罪者的服务器。

为了防止重复发送的文件，名为“.google.index”的隐藏文件使用 MD5 哈希值来监视传输的数据。该系统的容量上限为 16,384 个文件，因此重复文件可能会被泄露到超过此阈值。

Inknown Chisel 在文件扩展名方面撒下了广泛的网，目标是广泛的列表，包括 .dat、.bak、.xml、.txt、.ovpn、.xml、wa.db、msgstore.db、.pdf、.xlsx 、.csv、.zip、电话.db、.png、.jpg、.jpeg、.kme、database.hik、database.hik-journal、ezvizlog.db、cache4.db、contacts2.db、.ocx、.gz 、.rar、.tar、.7zip、.zip、.kmz、locksettings.db、mmssms.db、telephony.db、signal.db、mmssms.db、profile.db、accounts.db、PyroMsg.DB、.exe ，.kml。此外，它还会扫描设备的内部存储器和任何可用的 SD 卡，不遗余力地寻找数据。

攻击者可以使用臭名昭著的凿子来获取敏感数据

Inknown Chisel 恶意软件会在 Android 的 /data/ 目录中进行全面扫描，寻找 Google Authenticator、OpenVPN Connect、PayPal、Viber、WhatsApp、Signal、Telegram、Gmail、Chrome、Firefox、Brave、Microsoft One Cloud、Android Contacts 等应用程序，以及一系列其他的。

此外，这种威胁软件具有收集硬件信息并在局域网上执行扫描以识别开放端口和活动主机的能力。攻击者可以通过 SOCKS 和 SSH 连接获得远程访问，该连接通过随机生成的 .ONION 域重新路由。

文件和设备数据的泄露会定期发生，精确地每 86,000 秒发生一次，相当于一天。 LAN 扫描活动每两天进行一次，而高度敏感的军事数据的提取则更加频繁，每隔 600 秒（每 10 分钟）一次。

此外，促进远程访问的 Tor 服务的配置和执行计划每 6,000 秒进行一次。为了维持网络连接，恶意软件每 3 分钟对“geodatatoo(dot)com”域执行一次检查。

值得注意的是，臭名昭著的 Chisel 恶意软件并不优先考虑隐秘性；相反，它似乎对快速数据泄露和迅速转向更有价值的军事网络更感兴趣。