Carding
Professional
- Messages
- 2,871
- Reaction score
- 2,331
- Points
- 113
Службы кибербезопасности и разведки Австралии, Канады, Новой Зеландии, Великобритании и США в четверг раскрыли подробности мобильной вредоносной программы, нацеленной на устройства Android, используемые украинскими военными.
Вредоносное программное обеспечение, получившее название Infamous Chisel и приписываемое спонсируемому российским государством актеру по имени Sandworm, обладает возможностями "предоставлять несанкционированный доступ к скомпрометированным устройствам, сканировать файлы, отслеживать трафик и периодически красть конфиденциальную информацию".
Некоторые аспекты вредоносной программы были раскрыты Службой безопасности Украины (СБУ) ранее в августе, что свидетельствует о неудачных попытках противника проникнуть в украинские военные сети и собрать ценную разведданную.
Говорят, что российские войска захватили планшеты, используемые Украиной на поле боя, используя их как плацдарм для удаленного распространения вредоносного ПО на другие устройства с помощью инструмента командной строки Android Debug Bridge (ADB).
Sandworm, также известная под названиями FROZENBARENTS, Iron Viking, Seashell Blizzard и Voodoo Bear, относится к Главному центру специальных технологий (GTsST) Главного разведывательного управления России (ГРУ).
Хакерская группа, действующая как минимум с 2014 года, наиболее известна чередой подрывных кибератак с использованием таких вредоносных программ, как Industroyer, BlackEnergy и NotPetya.
В июле 2023 года компания Mandiant, принадлежащая Google, заявила, что вредоносные кибероперации ГРУ соответствуют плану действий, который предлагает тактические и стратегические преимущества, позволяя субъектам угрозы быстро адаптироваться к "быстро меняющейся и крайне конфликтной операционной среде" и в то же время максимизировать свою скорость, масштаб и интенсивность, оставаясь незамеченными.
Infamous Chisel описывается как набор из нескольких компонентов, разработанный с целью обеспечения удаленного доступа и извлечения информации с телефонов Android.
Помимо сканирования устройств на предмет информации и файлов, соответствующих предопределенному набору расширений файлов, вредоносная программа также содержит функциональность для периодического сканирования локальной сети и предоставления доступа по SSH.
"Infamous Chisel также обеспечивает удаленный доступ путем настройки и запуска TOR с помощью скрытой службы, которая перенаправляет на модифицированный двоичный файл Dropbear, обеспечивающий SSH-соединение", - говорится в сообщении разведывательного альянса Five Eyes (FVEY).
Краткое описание каждого из модулей выглядит следующим образом -
Что касается частоты эксфильтрации, компиляция файлов и данных устройств происходит каждый день, в то время как конфиденциальная военная информация перекачивается каждые 10 минут. Локальная сеть проверяется раз в два дня.
"Компоненты печально известного Chisel отличаются низкой или средней сложностью и, похоже, были разработаны без особого учета уклонения от защиты или сокрытия вредоносной активности", - заявили агентства.
"Поиск определенных файлов и путей к каталогам, которые относятся к военным приложениям, и эксфильтрация этих данных усиливает намерение получить доступ к этим сетям. Хотя в компонентах отсутствуют базовые методы обфускации или скрытности для маскировки активности, злоумышленник, возможно, счел это необязательным, поскольку многие устройства Android не имеют системы обнаружения на базе хоста".
Разработка происходит после того, как Национальный координационный центр кибербезопасности Украины (NCSCC) пролил свет на фишинговые попытки другой поддерживаемой Кремлем хакерской организации, известной как Gamaredon (она же Aqua Blizzard, Shuckworm или UAC-0010) перекачать секретную информацию.
Правительственное агентство заявило, что злоумышленник, который неоднократно нападал на Украину с 2013 года, наращивает атаки на военные и правительственные учреждения с целью сбора конфиденциальных данных, относящихся к его контрнаступательным операциям против российских войск.
"Gamaredon использует украденные законные документы скомпрометированных организаций для заражения жертв", - заявили в NCSCC. "Gamaredon использует украденные законные документы скомпрометированных организаций для заражения жертв".
Группа имеет опыт злоупотребления Telegram и Telegraph в качестве средств обнаружения тайников для извлечения информации, относящейся к ее инфраструктуре командования и контроля (C2), используя при этом "всесторонний" арсенал вредоносных инструментов для достижения своих стратегических целей.
К ним относятся GammaDrop, GammaLoad, GammaSteel, LakeFlash и Pterodo, последний из которых является универсальным инструментом, отточенным для шпионажа и утечки данных.
"Ее универсальность при развертывании различных модулей делает ее мощной угрозой, способной с высокой точностью проникать в целевые системы и компрометировать их", - заявили в NCSCC.
"Хотя Gamaredon, возможно, не самая технически продвинутая группировка угроз, нацеленная на Украину, их тактика демонстрирует продуманную эволюцию. Растущая частота атак предполагает расширение их оперативных возможностей и ресурсов".
Вредоносное программное обеспечение, получившее название Infamous Chisel и приписываемое спонсируемому российским государством актеру по имени Sandworm, обладает возможностями "предоставлять несанкционированный доступ к скомпрометированным устройствам, сканировать файлы, отслеживать трафик и периодически красть конфиденциальную информацию".
Некоторые аспекты вредоносной программы были раскрыты Службой безопасности Украины (СБУ) ранее в августе, что свидетельствует о неудачных попытках противника проникнуть в украинские военные сети и собрать ценную разведданную.
Говорят, что российские войска захватили планшеты, используемые Украиной на поле боя, используя их как плацдарм для удаленного распространения вредоносного ПО на другие устройства с помощью инструмента командной строки Android Debug Bridge (ADB).
Sandworm, также известная под названиями FROZENBARENTS, Iron Viking, Seashell Blizzard и Voodoo Bear, относится к Главному центру специальных технологий (GTsST) Главного разведывательного управления России (ГРУ).
Хакерская группа, действующая как минимум с 2014 года, наиболее известна чередой подрывных кибератак с использованием таких вредоносных программ, как Industroyer, BlackEnergy и NotPetya.
В июле 2023 года компания Mandiant, принадлежащая Google, заявила, что вредоносные кибероперации ГРУ соответствуют плану действий, который предлагает тактические и стратегические преимущества, позволяя субъектам угрозы быстро адаптироваться к "быстро меняющейся и крайне конфликтной операционной среде" и в то же время максимизировать свою скорость, масштаб и интенсивность, оставаясь незамеченными.
Infamous Chisel описывается как набор из нескольких компонентов, разработанный с целью обеспечения удаленного доступа и извлечения информации с телефонов Android.
Помимо сканирования устройств на предмет информации и файлов, соответствующих предопределенному набору расширений файлов, вредоносная программа также содержит функциональность для периодического сканирования локальной сети и предоставления доступа по SSH.
"Infamous Chisel также обеспечивает удаленный доступ путем настройки и запуска TOR с помощью скрытой службы, которая перенаправляет на модифицированный двоичный файл Dropbear, обеспечивающий SSH-соединение", - говорится в сообщении разведывательного альянса Five Eyes (FVEY).
Краткое описание каждого из модулей выглядит следующим образом -
- netd - собирает и удаляет информацию со скомпрометированного устройства через установленные промежутки времени, в том числе из каталогов приложений и веб-браузеров
- td - Предоставлять услуги TOR
- blob - настройка служб Tor и проверка сетевого подключения (выполняется netd)
- tcpdump - законная утилита tcpdump без изменений
- убийца - Завершите процесс netd
- db - Содержит несколько инструментов для копирования файлов и предоставления защищенного доступа к устройству через скрытую службу TOR с использованием модифицированной версии Dropbear
- NDBR - двоичный файл с несколькими вызовами, похожий на db, который поставляется в двух вариантах для работы на архитектурах процессоров Arm (ndbr_armv7l) и Intel (ndbr_i686)
Что касается частоты эксфильтрации, компиляция файлов и данных устройств происходит каждый день, в то время как конфиденциальная военная информация перекачивается каждые 10 минут. Локальная сеть проверяется раз в два дня.
"Компоненты печально известного Chisel отличаются низкой или средней сложностью и, похоже, были разработаны без особого учета уклонения от защиты или сокрытия вредоносной активности", - заявили агентства.
"Поиск определенных файлов и путей к каталогам, которые относятся к военным приложениям, и эксфильтрация этих данных усиливает намерение получить доступ к этим сетям. Хотя в компонентах отсутствуют базовые методы обфускации или скрытности для маскировки активности, злоумышленник, возможно, счел это необязательным, поскольку многие устройства Android не имеют системы обнаружения на базе хоста".
Разработка происходит после того, как Национальный координационный центр кибербезопасности Украины (NCSCC) пролил свет на фишинговые попытки другой поддерживаемой Кремлем хакерской организации, известной как Gamaredon (она же Aqua Blizzard, Shuckworm или UAC-0010) перекачать секретную информацию.
Правительственное агентство заявило, что злоумышленник, который неоднократно нападал на Украину с 2013 года, наращивает атаки на военные и правительственные учреждения с целью сбора конфиденциальных данных, относящихся к его контрнаступательным операциям против российских войск.
"Gamaredon использует украденные законные документы скомпрометированных организаций для заражения жертв", - заявили в NCSCC. "Gamaredon использует украденные законные документы скомпрометированных организаций для заражения жертв".
Группа имеет опыт злоупотребления Telegram и Telegraph в качестве средств обнаружения тайников для извлечения информации, относящейся к ее инфраструктуре командования и контроля (C2), используя при этом "всесторонний" арсенал вредоносных инструментов для достижения своих стратегических целей.
К ним относятся GammaDrop, GammaLoad, GammaSteel, LakeFlash и Pterodo, последний из которых является универсальным инструментом, отточенным для шпионажа и утечки данных.
"Ее универсальность при развертывании различных модулей делает ее мощной угрозой, способной с высокой точностью проникать в целевые системы и компрометировать их", - заявили в NCSCC.
"Хотя Gamaredon, возможно, не самая технически продвинутая группировка угроз, нацеленная на Украину, их тактика демонстрирует продуманную эволюцию. Растущая частота атак предполагает расширение их оперативных возможностей и ресурсов".
