Sandworm развернул вредонос Infamous Chisel для атак на Android-устройства украинских военных

APT

Агентства кибербезопасности Великобритании, США, Австралии, Канады и Новой Зеландии опубликовали совместный отчёт о новом вредоносном наборе компонентов, ориентированном на Android-устройства. Данная угроза, получившая название Infamous Chisel, связывается с деятельностью группировки Sandworm. Основной целью кампании стали мобильные устройства, используемые украинскими военными.

Описание

Согласно документу, опубликованному британским Национальным центром кибербезопасности (NCSC) совместно с АНБ, CISA, ФБР, а также аналогичными структурами Новой Зеландии, Канады и Австралии, вредонос представляет собой коллекцию утилит, обеспечивающих постоянный удалённый доступ к заражённому устройству и эксфильтрацию конфиденциальных данных. Infamous Chisel спроектирован для работы через сеть Tor и включает в себя средства для мониторинга трафика, сбора информации о системе и локальной сети.

Основными функциями набора являются сканирование файлов по заданным расширениям и регулярная отправка обнаруженных данных на сервер злоумышленников. Кроме того, вредонос способен сканировать локальную сеть на предмет активных хостов, открытых портов и баннеров. Для удалённого доступа используется скрытый сервис Tor, который перенаправляет соединения на модифицированную версию Dropbear SSH-сервера.

Исследователи отмечают, что Infamous Chisel состоит из нескольких компонентов. Ключевым элементом является модуль netd, который заменяет легитимный системный процесс netd на Android-устройстве. Такая замена обеспечивает закрепление в системе и выполнение с привилегиями root. Заражение начинается с того, что злоумышленники помещают вредоносный netd вместо оригинального файла по пути /system/bin/netd. При запуске через init проверяется, является ли родительский процесс именно init. Если да, netd запускает резервную копию легитимного процесса netd_ с теми же параметрами, сохраняя нормальную работу системы, но при этом сам остаётся активным с повышенными правами.

Компонент killer, напротив, предназначен для остановки вредоносного netd. Он завершает процесс, если он не является резервной копией. Для сжатия и запуска Tor используется программа blob. Именно blob распаковывает и конфигурирует исполняемый файл td (стандартный Tor без изменений) и создаёт файл конфигурации /data/local/prx.cfg. В этой конфигурации задаются локальный порт SOCKS4 127.0.0.1:1129, каталог данных /data/local/prx/ и скрытый сервис на порту 34371. После этого blob регулярно проверяет доступность сети через подключение к домену www.geodatatool[.]com через SOCKS-прокси.

Как показал анализ международных агентств, вредонос включает в себя многокомпонентные двоичные файлы db, ndbr_armv7l и ndbr_i686, которые содержат Dropbear, Dropbearkey, SSH, SCP, собственный сетевой сканер nmap, а также вспомогательные утилиты watchdog, rmflag и mkflag. Последние отвечают за создание каталогов и файлов-флагов, а также за настройку iptables для разрешения входящих TCP-соединений на 34371 порт. Модификации в Dropbear затрагивают функции аутентификации: злоумышленники заменили стандартные процедуры getpwnam, getpwuid и getspnam на собственные версии, которые проверяют жёстко заданные имя пользователя и идентификатор 0xbeef. Если эти значения совпадают, возвращается предопределённая структура данных, что позволяет обойти парольную защиту.

Сбор информации выполняется с интервалами. Каждые 86 000 секунд (около 24 часов) netd запускает поиск файлов по расширениям (.dat, .bak, .xml, .txt, .ovpn, .db, .pdf, .xlsx, .csv, .zip, .png, .jpg, .kml и другие) в нескольких директориях, включая /sdcard, /data/media, а также каталоги приложений: OpenVPN, Telegram, Signal, WhatsApp, Google Authenticator, криптовалютные кошельки и другие. Дополнительно выполняется скрипт сбора системной информации: android_id, список установленных пакетов, IP-конфигурация, GPS-координаты, сведения о производителе и батарее. Собранные данные временно сохраняются в /data/local/tmp/.syscache.csv и других файлах, затем отправляются на сервер через HTTPS POST-запросы.

Интервал эксфильтрации конфигурационных файлов (с расширениями .json и .json.bak) составляет 10 минут. Каждые 172 000 секунд (почти двое суток) проводится сканирование локальной сети с помощью встроенного сканера minmap. Результаты записываются в файл .ndata.csv и также отправляются. Для предотвращения повторной отправки одних и тех же файлов используется файл .google.index, в который записываются MD5-хеши уже отправленных данных. При достижении лимита в 16 384 хеша запись начинается с начала, что может привести к дублированию.

Трафик эксфильтрации шифруется с использованием TLS. Сначала попытка соединения выполняется на жёстко заданный локальный IP-адрес и порт (предположительно через VPN-туннель), а при неудаче - на внешний домен через DNS-запрос к dns.google. В HTTP-заголовках используется User-Agent, характерный для Windows, что может быть замечено при глубоком анализе, но в шифрованном трафике это сложно выявить.

Отчёт отмечает, что сложность Infamous Chisel оценивается как низкая или средняя. Разработчики не применяли изощрённых методов обфускации или скрытия активности. Однако замена системного демона netd и модификация аутентификации Dropbear требуют хорошего знания C++ и понимания механизмов загрузки Linux. На большинстве Android-устройств отсутствуют системы обнаружения хостовых угроз, поэтому злоумышленники могли не считать маскировку необходимой.

Сбор специфических данных, связанных с военными приложениями, в том числе конфигураций VPN, мессенджеров и криптокошельков, прямо указывает на целевую направленность атаки. Несмотря на примитивность отдельных компонентов, вредонос представляет серьёзную угрозу из-за объёма информации, которую он способен извлечь. Международные агентства рекомендуют операторам мобильных устройств, особенно в силовых структурах, применять усиленные меры защиты: обновлять прошивки, ограничивать установку сторонних приложений, использовать решения для мобильной безопасности и регулярно проверять целостность системных файлов. Данная кампания подтверждает тенденцию роста целенаправленных атак на мобильные платформы со стороны государственных злоумышленников.

Индикаторы компрометации

MD5

  • 04d0606d90bba826e8a609b3dc955d4d
  • 0905e83411c0418ce0a8d3ae54ad89a6
  • 1f2c118b29e48cc5a5df46cddd399334
  • 2cfa1f3e0467b8664cbf3a6d412916d6
  • 452b6c35f44f55604386849f9e671cc0
  • 4bdf7f719651d9a762d90e9f33f6bb01
  • 512eb94ee86e8d5b27ec66af98a2a8c4
  • 7e548ef96d76d2f862d6930dcc67ef82
  • c4b5c8bdf95fe636a6e9ebba0a60c483

SHA1

  • 2df1e320851b26947ab1ea07eaccbd4d3762c68e
  • 500b953d63a0dbdc76dc3f51c32e3acab92f3ddc
  • 7d11aefc26823712ad8de37489f920fae679b845
  • 917db380b22fad02e7f21f11d1b4e8a5ad47c61c
  • ad6eb2a7096b0e29cd93b8b1f60052fed7632ab9
  • b681a2b64d150a4b16f64455913fbacd97d9b490
  • cdad1bee2e88581b7fa7af5698293435667d2550
  • f6368ae2eec8cf46a7e88559f27dbbe4e7c02380
  • ffaeba9a9fb4260b981fb10d79dbb52ba291fc94

SHA256

  • 001208a304258c23a0b3794abd8a5a21210dfeaf106195f995a6f55d75ef89cd
  • 140accb18ba9569b43b92da244929bc009c890916dd703794daf83034e349359
  • 2d19e015412ef8f8f7932b1ad18a5992d802b5ac62e59344f3aea2e00e0804ad
  • 338f8b447c95ba1c3d8d730016f0847585a7840c0a71d5054eb51cc612f13853
  • 33a2be6638be67ba9117e0ac7bad26b12adbcdf6f8556c4dc2ff3033a8cdf14f
  • 3cf2de421c64f57c173400b2c50bbd9e59c58b778eba2eb56482f0c54636dd29
  • 5866e1fa5e262ade874c4b869d57870a88e6a8f9d5b9c61bd5d6a323e763e021
  • 5c5323bd17fd857a0e77be4e637841dad5c4367a72ac0a64cc054f78f530ba37
  • ef466e714d5250e934e681bda6ebdecd314670bb141f12a1b02c9afddbd93428

YARA

Комментарии: 0