悪名高い Chisel モバイル マルウェア

ロシア連邦軍参謀本部（一般的にGRUと呼ばれる）に所属するサイバー工作員が、ウクライナ国内のAndroidデバイスを標的としたキャンペーンを開始した。この攻撃で彼らが選んだ武器は、最近発見された「悪名高いノミ」と呼ばれる不気味な脅威ツールキットです。

この厄介なフレームワークにより、ハッカーはオニオン ルーター (Tor) ネットワーク内の隠蔽サービスを介して、標的のデバイスにバックドア アクセスできるようになります。このサービスにより、攻撃者はローカル ファイルをスキャンし、ネットワーク トラフィックを傍受し、機密データを抽出することができます。

ウクライナ保安局 (SSU) は最初にこの脅威について警鐘を鳴らし、サンドワーム ハッキング グループがこのマルウェアを使用して軍の指揮システムに侵入しようとしていることに国民に警告しました。

その後、英国国家サイバー セキュリティ センター (NCSC) と米国サイバーセキュリティ インフラストラクチャ セキュリティ庁 (CISA) の両方が、インファマス チゼルの複雑な技術的側面を詳しく調査しました。彼らのレポートはその機能に光を当て、このサイバー脅威に対する防御措置を強化するための貴重な洞察を提供します。

広範囲にわたる有害な機能を誇る悪名高いノミ

Inious Chisel は、Tor ネットワークを通じて侵害された Android デバイスに対する永続的な制御を確立するように設計されたいくつかのコンポーネントから侵害されます。定期的に、感染したデバイスから被害データを収集して転送します。

デバイスへの侵入に成功すると、中心コンポーネントである「netd」が制御を引き継ぎ、一連のコマンドとシェル スクリプトを実行できるようになります。永続的な永続性を確保するために、正規の 'netd' Android システム バイナリに取って代わります。

このマルウェアは、Android デバイスを侵害し、ウクライナ軍に関する情報やアプリケーションを注意深くスキャンするように特別に設計されています。取得されたすべてのデータは、加害者のサーバーに転送されます。

送信されたファイルの重複を防ぐために、「.google.index」という名前の隠蔽ファイルは MD5 ハッシュを使用して送信データを監視します。システムの容量は 16,384 ファイルに制限されているため、このしきい値を超えると重複ファイルが流出する可能性があります。

Inious Chisel は、ファイル拡張子に関して広範囲に網を張り、.dat、.bak、.xml、.txt、.ovpn、.xml、wa.db、msgstore.db、.pdf、.xlsx を含む広範なリストをターゲットにしています。 、.csv、.zip、telephony.db、.png、.jpg、.jpeg、.kme、database.hik、database.hik-journal、ezvizlog.db、cache4.db、contacts2.db、.ocx、.gz 、.rar、.tar、.7zip、.zip、.kmz、locksettings.db、mmssms.db、telephony.db、signal.db、mmssms.db、profile.db、accounts.db、PyroMsg.DB、.exe 、.kml。さらに、デバイスの内部メモリと利用可能な SD カードをスキャンし、あらゆる手段でデータの探索を行います。

攻撃者は悪名高いチゼルを使用して機密データを入手できる

Inious Chisel マルウェアは、Android の /data/ ディレクトリ内で包括的なスキャンを実行し、Google Authenticator、OpenVPN Connect、PayPal、Viber、WhatsApp、Signal、Telegram、Gmail、Chrome、Firefox、Brave、Microsoft One Cloud、Android Contacts などのアプリケーションを探し出します。 、その他の配列。

さらに、この脅威的なソフトウェアは、ハードウェア情報を収集し、ローカル エリア ネットワーク上でスキャンを実行して、開いているポートとアクティブなホストを特定する機能を備えています。攻撃者は、ランダムに生成された .ONION ドメインを通じて再ルーティングされる SOCKS および SSH 接続を通じてリモート アクセスを取得できます。

ファイルとデバイス データの流出は一定の間隔、正確には 86,000 秒ごとに発生します。これは 1 日に相当します。 LAN スキャン活動は 2 日ごとに行われますが、非常に機密性の高い軍事データの抽出は、600 秒間隔 (10 分ごと) というはるかに頻繁な頻度で行われます。

さらに、リモート アクセスを容易にする Tor サービスの構成と実行は 6,000 秒ごとに実行されるようにスケジュールされています。ネットワーク接続を維持するために、マルウェアは 3 分ごとに「geodatatoo(dot)com」ドメインのチェックを実行します。

Inious Chisel マルウェアがステルス性を優先していないことは注目に値します。むしろ、迅速なデータ流出と、より価値のある軍事ネットワークへの迅速な移行にはるかに関心があるようです。