臭名昭著的 Chisel 移動惡意軟件

隸屬於俄羅斯聯邦武裝部隊總參謀部（通常稱為 GRU）的網絡特工發起了一場針對烏克蘭境內 Android 設備的有針對性的活動。他們在這次進攻中選擇的武器是最近發現的一種不祥的威脅工具包，被稱為“臭名昭著的鑿子”。

這個令人討厭的框架為黑客提供了通過洋蔥路由器 (Tor) 網絡中的隱藏服務訪問目標設備的後門。該服務使攻擊者能夠掃描本地文件、攔截網絡流量和提取敏感數據。

烏克蘭安全局 (SSU) 首先就這一威脅發出警報，提醒公眾注意 Sandworm 黑客組織試圖使用該惡意軟件滲透軍事指揮系統。

隨後，英國國家網絡安全中心（NCSC）和美國網絡安全和基礎設施安全局（CISA）都深入研究了 Inknown Chisel 的複雜技術問題。他們的報告揭示了其能力，並為加強針對這種網絡威脅的防禦措施提供了寶貴的見解。

臭名昭著的鑿子具有多種有害功能

Inknown Chisel 由多個組件組成，這些組件旨在通過 Tor 網絡對受感染的 Android 設備建立持久控制。它定期從受感染的設備收集和傳輸受害者數據。

成功滲透設備後，中央組件“netd”將取得控制權並準備好執行一組命令和 shell 腳本。為了確保持久性，它取代了合法的“netd”Android 系統二進製文件。

該惡意軟件專門設計用於危害 Android 設備並仔細掃描與烏克蘭軍方有關的信息和應用程序。然後，所有獲取的數據都會轉發到犯罪者的服務器。

為了防止重複發送的文件，名為“.google.index”的隱藏文件使用 MD5 哈希值來監視傳輸的數據。該系統的容量上限為 16,384 個文件，因此重複文件可能會被洩露到超過此閾值。

Inknown Chisel 在文件擴展名方面撒下了廣泛的網，目標是廣泛的列表，包括.dat、.bak、.xml、.txt、.ovpn、.xml、wa.db、msgstore.db、.pdf、 .xlsx 、.csv、.zip、電話.db、.png、.jpg、.jpeg、.kme、database.hik、database.hik-journal、ezvizlog.db、cache4.db、contacts2.db、.ocx、 .gz 、.rar、.tar、.7zip、.zip、.kmz、locksettings.db、mmssms.db、telephony.db、signal.db、mmssms.db、profile.db、accounts.db、PyroMsg.DB、 .exe ，.kml。此外，它還會掃描設備的內部存儲器和任何可用的 SD 卡，不遺餘力地尋找數據。

攻擊者可以使用臭名昭著的鑿子來獲取敏感數據

Inknown Chisel 惡意軟件會在Android 的/data/ 目錄中進行全面掃描，尋找Google Authenticator、OpenVPN Connect、PayPal、Viber、WhatsApp、Signal、Telegram、Gmail、Chrome、Firefox、Brave、Microsoft One Cloud、Android Contacts 等應用程序，以及一系列其他的。

此外，這種威脅軟件具有收集硬件信息並在局域網上執行掃描以識別開放端口和活動主機的能力。攻擊者可以通過 SOCKS 和 SSH 連接獲得遠程訪問，該連接通過隨機生成的 .ONION 域重新路由。

文件和設備數據的洩露會定期發生，精確地每 86,000 秒發生一次，相當於一天。 LAN 掃描活動每兩天進行一次，而高度敏感的軍事數據的提取則更加頻繁，每隔 600 秒（每 10 分鐘）一次。

此外，促進遠程訪問的 Tor 服務的配置和執行計劃每 6,000 秒進行一次。為了維持網絡連接，惡意軟件每 3 分鐘對“geodatatoo(dot)com”域執行一次檢查。

值得注意的是，臭名昭著的 Chisel 惡意軟件並不優先考慮隱秘性；相反，它似乎對快速數據洩露和迅速轉向更有價值的軍事網絡更感興趣。