与俄罗斯有关的黑客利用臭名昭著的 CHISEL ANDROID 恶意软件瞄准乌克兰军方

与俄罗斯有关的威胁行为者一直在使用一种名为 Inknown Chisel 的新恶意软件瞄准乌克兰军方的 Android 设备。

GCHQ 国家网络安全中心和国际合作伙伴报告称，与俄罗斯有关的威胁行为者正在使用一种新的恶意软件来针对乌克兰军方

政府专家将这次袭击归咎于俄罗斯军事情报部门格鲁乌。

GCHQ 的国家网络安全中心 (NCSC) 以及美国、澳大利亚、加拿大和新西兰的机构发布了对 Android 恶意软件的分析。该报告可在NCSC和美国网络安全与基础设施安全局 (CISA)的网站上获取，该机构还发布了妥协指标 (IoC) 和威胁检测的 Yara 规则。

Inknown Chisel 恶意软件允许威胁行为者未经授权访问受感染的设备、扫描文件、监控流量并窃取敏感信息。

乌克兰安全机构 SBU 本月早些时候首次发现了这一网络间谍活动，政府专家将此次攻击归咎于与俄罗斯有关联的Sandworm APT 组织（又名 BlackEnergy、  UAC-0082、  Iron Viking、  Voodoo Bear和 TeleBots）。

该组织还是 NotPetya 勒索软件的作者，该勒索软件于 2017 年 6 月袭击了全球数百家公司。2022 年，俄罗斯 APT 在针对乌克兰的攻击中使用了多个擦除器，包括 AwfulShred、CaddyWiper、HermeticWiper、Industroyer2、IsaacWiper、WhisperGate、Prestige、RansomBoggs和 ZeroWipe。 

Inknown Chisel 是针对 Android 设备设计的组件集合，它通过 Tor（洋葱路由器）隐藏服务和 Secure Shell (SSH) 提供网络后门访问。

NCSC 的报告称，该恶意软件还支持其他功能，包括网络监控、流量收集、SSH 访问、网络扫描和 SCP 文件传输。

“泄露的信息是系统设备信息、商业应用信息和乌克兰军方特定应用程序的组合。该恶意软件定期扫描设备以查找感兴趣的信息和文件，并匹配一组预定义的文件扩展名。” 阅读NCSC 发布的报告。“它还包含定期扫描本地网络的功能，整理有关活动主机、开放端口和横幅的信息。Inknown Chisel 还通过使用隐藏服务配置和执行 Tor 来提供远程访问，该隐藏服务转发到提供 SSH 连接的修改后的 Dropbear 二进制文件。”

该恶意软件的目标是存储在设备内存和使用的 SD 卡中的多个文件扩展名。该恶意软件会在 Android 的 /data/ 目录中搜索流行的应用程序，例如 Google Authenticator、OpenVPN Connect、PayPal、Viber、WhatsApp、Signal、Telegram、Gmail、Chrome、Firefox、Brave、Microsft One Cloud、Android Contacts、Coinbase、Binance 等。

专家指出，该恶意软件实现了两种有趣的技术，替换合法的netd可执行文件以保持持久性，以及修改包括dropbear在内的组件中的身份验证功能。研究人员指出，这些技术需要良好的 C++ 知识才能进行更改，并且需要了解 Linux 身份验证和启动机制。

“臭名昭著的 Chisel 组件的复杂程度为低到中等，并且似乎在开发时很少考虑防御规避或隐藏恶意活动。搜索与军事应用相关的特定文件和目录路径以及泄露这些数据强化了访问这些网络的意图。” 报告总结道。“尽管这些组件缺乏基本的混淆或隐形技术来伪装活动，但攻击者可能认为这没有必要，因为许多 Android 设备没有基于主机的检测系统。“

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/7877.html