Five Eyes Android 端末を標的とするInfamous Chisel マルウェアを利用するロシアの脅威行為者に関する報告書

こんにちは、丸山満彦です。

Five EyesがAndroid 端末を標的とするInfamous Chisel マルウェアを利用するロシアの脅威行為者に関する報告書を公表していますね。。。

CISAのページ...

● CISA

プレス...

・2023.08.31 U.S. and International Partners Release Report on Russian Cyber Actors Using “Infamous Chisel” Malware

U.S. and International Partners Release Report on Russian Cyber Actors Using “Infamous Chisel” Malware	米国と国際パートナー、「悪名高いChisel」マルウェアを使用するロシアのサイバー行為者に関する報告書を発表
Joint report provides technical analysis of malware targeting Android devices used by Ukrainian military	共同報告書は、ウクライナ軍が使用するAndroid端末を標的としたマルウェアの技術分析を提供する
WASHINGTON – The U.S. Cybersecurity and Infrastructure Security Agency (CISA), Federal Bureau of Investigation (FBI), National Security Agency (NSA), and agencies in Australia, Canada, United Kingdom, and New Zealand today published a joint report on a malware campaign conducted by Russian cyber actors against the Ukrainian military.	ワシントン - 米サイバーセキュリティ・インフラセキュリティ庁（CISA）、連邦捜査局（FBI）、国家安全保障局（NSA）、およびオーストラリア、カナダ、英国、ニュージーランドの各機関は本日、ロシアのサイバー行為者がウクライナ軍に対して行ったマルウェアキャンペーンに関する共同報告書を発表した。
The malware analysis report provides technical details of a new kind of malware used to target Android devices in use by Ukrainian military personnel. The malware, called Infamous Chisel, enables unauthorized access to compromised devices and is designed to scan files, monitor traffic, and periodically steal sensitive information.	このマルウェア分析報告書には、ウクライナ軍関係者が使用しているアンドロイド端末を標的にした新種のマルウェアの技術的詳細が記載されている。Infamous Chiselと呼ばれるこのマルウェアは、侵害されたデバイスへの不正アクセスを可能にし、ファイルをスキャンし、トラフィックを監視し、定期的に機密情報を盗むように設計されている。
“For years, the U.S. Government has been calling out Russian actors who have engaged in a range of malicious cyber activity targeting U.S. and allied partners for cyber espionage and potential disruptive actions,” said CISA Executive Assistant Director for Cybersecurity, Eric Goldstein. “Today’s joint report reflects the value of deep collaboration across our international cyber defense partners, the need for all organizations to keep their Shields Up to detect and mitigate Russian cyber activity, and the importance of continued focus on maintaining operational resilience under all conditions.”	「CISAのサイバーセキュリティ担当エグゼクティブ・アシスタント・ディレクターであるエリック・ゴールドスタインは、次のように述べている。「米国政府は長年にわたり、米国や同盟国のパートナーを標的としたさまざまな悪質なサイバー活動を行うロシアの行為者を、サイバー・スパイ活動や潜在的な破壊行動として呼びかけてきた。「本日の共同報告書は、国際的なサイバー防衛パートナー間の深い協力の価値、ロシアのサイバー活動を検知し緩和するためにすべての組織がシールドを維持する必要性、そしてあらゆる状況下で運用レジリエンスを維持することに引き続き注力することの重要性を反映している。
The campaign was publicly uncovered by Ukraine’s security agency, the SBU, earlier this month and has been attributed to the threat actor known as Sandworm. The United Kingdom and the United States have previously attributed Sandworm to the Russian GRU’s Main Centre for Special Technologies (GTsST).	このキャンペーンは、今月初めにウクライナの治安機関であるSBUによって公に摘発され、Sandwormとして知られる脅威行為者に起因するとされている。英国と米国は、サンドウォームをロシアGRUのメイン特殊技術センター（GTsST）の仕業としている。
For more information on Russian state-sponsored cyber activity, read Joint Cybersecurity Advisory on Russian State-Sponsored and Criminal Cyber Threats to Critical Infrastructure and CISA’s Russia Cyber Threat Overview and Advisories webpage.	ロシアの国家支援によるサイバー活動の詳細については、「重要インフラに対するロシアの国家支援および犯罪的サイバー脅威に関する共同サイバーセキュリティ勧告」およびCISAの「ロシアのサイバー脅威の概要と勧告」のウェブページを参照のこと。

 

マルウェアについての技術報告書...

・2023.08.31 Infamous Chisel Malware Analysis Report

Alert Code: AR23-243A	アラートコード：AR23-243A
Infamous Chisel Malware Analysis Report	Infamous Chisel マルウェア分析レポート
Infamous Chisel–A collection of components associated with Sandworm designed to enable remote access and exfiltrate information from Android phones.	Infamous Chisel-Android携帯電話からのリモートアクセスと情報流出を可能にするために設計されたSandwormに関連するコンポーネントの集合体。
Executive Summary	エグゼクティブサマリー
Infamous Chisel is a collection of components targeting Android devices.	Infamous Chisel は、Android 端末を標的とするコンポーネントの集合体である。
This malware is associated with Sandworm activity.	このマルウェアはSandwormの活動に関連している。
It performs periodic scanning of files and network information for exfiltration.	このマルウェアは、ファイルやネットワーク情報の定期的なスキャンを実行し、情報を流出させる。
System and application configuration files are exfiltrated from an infected device.	感染したデバイスからシステムおよびアプリケーションの設定ファイルが流出する。
Infamous Chisel provides network backdoor access via a Tor (The Onion Router) hidden service and Secure Shell (SSH).	Infamous Chiselは、Tor (The Onion Router)隠れサービスやSecure Shell (SSH)を介してネットワークバックドアアクセスをプロバイダする。
Other capabilities include network monitoring, traffic collection, SSH access, network scanning, and SCP file transfer.	その他の機能には、ネットワーク監視、トラフィック収集、SSHアクセス、ネットワークスキャン、SCPファイル転送などがある。
Overview	概要
The UK National Cyber Security Centre (NCSC), the U.S. National Security Agency (NSA), U.S. Cybersecurity and Infrastructure Security Agency (CISA), U.S. Federal Bureau of Investigation (FBI), New Zealand’s National Cyber Security Centre (NCSC-NZ), the Canadian Centre for Cyber Security – part of the Canada’s Communications Security Establishment (CSE), and Australian Signals Directorate (ASD) are aware that the actor known as Sandworm has used a new mobile malware in a campaign targeting Android devices used by the Ukrainian military. The malware is referred to here as Infamous Chisel.	英国国家サイバーセキュリティセンター（NCSC）、米国国家安全保障局（NSA）、米国サイバーセキュリティ・インフラセキュリティ庁（CISA）、米国 米国連邦捜査局（FBI）、ニュージーランド国家サイバーセキュリティセンター（NCSC-NZ）、カナダ・サイバーセキュリティセンター（カナダ・コミュニケーション・セキュリティ・エスタブリッシュメント（CSE）の一部）、オーストラリア信号局（ASD）は、Sandwormとして知られる行為者が、ウクライナ軍が使用するAndroid端末を標的としたキャンペーンで新しいモバイルマルウェアを使用したことを認識している。このマルウェアはInfamous Chiselと呼ばれている。
Organizations from the United Kingdom, United States, Australia, Canada, and New Zealand have previously linked the Sandworm actor to the Russian GRU's Main Centre for Special Technologies GTsST.	英国、米国、オーストラリア、カナダ、およびニュージーランドの組織は、SandwormとロシアGRUのメインセンターGTsSTを関連づけたことがある。

 

 

オーストラリア...

● ACSC

・2023.08.31 Infamous Chisel

 

カナダ...

● Canadian Centre for Cyber Security

・2023.08.31 Joint report on new Russian malware campaign targeting Ukrainian military

 

英国

● NCSC

・2023.08.31 UK and allies support Ukraine calling out Russia's GRU for new malware campaign

UK and allies support Ukraine calling out Russia's GRU for new malware campaign	英国と同盟国はウクライナを支援し、ロシアのGRUを新たなマルウェアキャンペーンで呼び出す
Malware, dubbed Infamous Chisel, enables unauthorised access to compromised Android devices.	マルウェアは「Infamous Chisel」と名付けられ、感染したアンドロイド端末への不正アクセスを可能にする。
・GCHQ’s National Cyber Security Centre and international partners share technical details about malware used to target Ukrainian military	・GCHQのナショナル・サイバー・セキュリティ・センターと国際パートナーは、ウクライナ軍を標的にしたマルウェアに関する技術的な詳細を共有する。
・New report supports attribution that the malicious campaign has been carried out by Russian military intelligence service the GRU	・新レポートは、この悪質なキャンペーンがロシアの軍事情報機関GRUによって実行されたことを裏付けるものである。
・United show of support follows the Security Service of Ukraine exposing the malware operations earlier this month	・ウクライナ安全保障局が今月初めにマルウェア作戦を暴露したことを受け、連合が支援を表明した。
The UK and international allies have published a new report today (Thursday) which supports Ukraine calling out Russian cyber actors responsible for conducting a malware campaign against the Ukrainian military.	英国および国際的な同盟国は、本日（木曜日）、ウクライナ軍に対するマルウェア・キャンペーンを行ったロシアのサイバー・アクターを非難するウクライナを支持する新たな報告書を発表した。
The National Cyber Security Centre (NCSC) – a part of GCHQ – and agencies in the United States, Australia, Canada and New Zealand have published analysis of a new kind of malware used to target Android devices in use by Ukrainian military personnel.	GCHQの一部である国家サイバーセキュリティセンター（NCSC）と米国、オーストラリア、カナダ、ニュージーランドの国家安全保障局は、ウクライナ軍関係者が使用しているアンドロイド端末を標的にした新種のマルウェアの分析を発表した。
The report details how the malware, dubbed Infamous Chisel, enables unauthorised access to compromised devices and is designed to scan files, monitor traffic and periodically steal sensitive information.	報告書は、Infamous Chiselと名付けられたこのマルウェアが、侵害されたデバイスへの不正アクセスを可能にし、ファイルをスキャンし、トラフィックを監視し、定期的に機密情報を盗むように設計されていることを詳述している。
The campaign was publicly uncovered by Ukraine’s security agency the SBU earlier this month and has been attributed to the threat actor known as Sandworm.	このキャンペーンは、今月初めにウクライナのセキュリティ機関SBUによって公に発見され、Sandwormとして知られる脅威行為者に起因するとされている。
The NCSC has previously attributed the Sandworm actor to the Russian GRU’s Main Centre for Special Technologies GTsST.	NCSCは以前、この「サンドワーム」をロシアGRUの「メインセンター・フォー・スペシャル・テクノロジーズ（GTsST）」によるものだとしていた。
The report's publication today demonstrates the UK and allies' ongoing commitment to support Ukraine in the face of Russian attacks, including in the area of cyber defence.	本日発表された報告書は、サイバー防衛の分野も含め、ロシアの攻撃に直面するウクライナを支援するという英国と同盟国の継続的なコミットメントを示すものである。
Deputy Prime Minister, Oliver Dowden, said:	オリバー・ダウデン副首相は次のように述べた：
"As Russia fails on the battlefield, it continues its malicious activity online, making Ukraine one of the most cyber-attacked nations in the world.	「ロシアは戦場で失敗する一方で、オンライン上では悪質な活動を続けており、ウクライナは世界で最もサイバー攻撃を受けている国のひとつとなっている。
"Working with our international allies, and through NCSC's world-leading expertise, I'm proud that the UK is challenging Russia's cowardly cyber actors and defending Ukraine."	「国際的な同盟国と協力し、NCSCの世界をリードする専門知識を通じて、英国がロシアの卑怯なサイバー行為者に挑み、ウクライナを守っていることを誇りに思う。
NCSC Director of Operations, Paul Chichester, said:	NCSCのポール・チチェスター作戦部長は、次のように述べた：
"The exposure of this malicious campaign against Ukrainian military targets illustrates how Russia’s illegal war in Ukraine continues to play out in cyberspace.	「ウクライナの軍事標的に対するこの悪意あるキャンペーンのエクスポージャーは、ウクライナにおけるロシアの違法な戦争がいかにサイバー空間で展開され続けているかを示している。
"Our new report shares expert analysis of how this new malware operates and is the latest example of our work with allies in support of Ukraine’s staunch defence.	「我々の新しい報告書は、この新しいマルウェアがどのように動作するかについての専門家の分析を共有し、ウクライナの堅固な防衛を支援するための同盟国との協力の最新の例である。
"The UK is committed to calling out Russian cyber aggression and we will continue to do so."	「英国はロシアのサイバー侵略を非難することにコミットしており、今後もそうしていく」。
Since Russia's invasion, Ukraine has faced an unprecedented barrage of attacks and has successfully defended itself and bolstered its overall digital resilience with support from international partners in government and industry.	ロシアの侵攻以来、ウクライナは前例のない攻撃の嵐に直面し、政府や産業界の国際的なパートナーからの支援を受けて、防衛に成功し、全体的なデジタル・レジリエンスを強化してきた。
In June, the Prime Minister announced that the UK-funded Ukraine Cyber Programme would be boosted by an additional injection of up to £25 million and a two-year expansion to help Ukraine protect its critical national infrastructure and vital public services online.	首相は6月、英国が資金援助しているウクライナ・サイバー・プログラムに最大2500万ポンドを追加投入し、ウクライナが重要な国家インフラと重要な公共サービスをオンラインで保護できるよう2年間拡大すると発表した。
The malware analysis report has been jointed issued by the NCSC, the US National Security Agency (NSA), the US Cybersecurity and Infrastructure Security Agency (CISA), the US Federal Bureau of Investigation (FBI), New Zealand’s National Cyber Security Centre (NCSC-NZ), the Canadian Centre for Cyber Security - part of the Communications Security Establishment (CSE) and the Australian Signals Directorate (ASD).	このマルウェア分析報告書は、NCSC、米国国家安全保障局（NSA）、米国サイバーセキュリティ・インフラセキュリティ庁（CISA）、米国連邦捜査局（FBI）、ニュージーランド国家サイバーセキュリティセンター（NCSC-NZ）、カナダ・サイバーセキュリティセンター（コミュニケーション・セキュリティ・エスタブリッシュメント（CSE）の一部）、オーストラリア信号局（ASD）が共同で発表した。
The report can be read in full on the NCSC website. Associated files relating to this report can also be accessed via the NCSC's Malware Analysis Reports page.	報告書の全文はNCSCのウェブサイトで読むことができる。このレポートに関連するファイルは、NCSCのマルウェア分析レポートのページからもアクセスできる。

 

・[PDF] Infamous Chisel

 

ニュージーランド...

● National Cyber Security Centre - NZ

・2023.09.01 Joint advisory: Support for Ukraine calling out Russia’s GRU for new malware campaign

 

Joint advisory: Support for Ukraine calling out Russia’s GRU for new malware campaign	共同勧告：新たなマルウェアキャンペーンでロシアのGRUを呼び出すウクライナを支援する
The National Cyber Security Centre (NCSC) has today joined likeminded international partners to issue a Malware Analysis Report on the Infamous Chisel malware. This mobile malware, used by an actor known as Sandworm, was observed in a campaign targeting Android devices in use by the Ukrainian military.	ナショナル・サイバー・セキュリティ・センター（NCSC）は本日、志を同じくする国際的パートナーとともに、悪名高いマルウェア「Chisel」に関するマルウェア分析レポートを発表した。このモバイルマルウェアは、Sandwormとして知られる行為者によって使用され、ウクライナ軍で使用されているAndroid端末を標的としたキャンペーンで観測された。
Organisations from Australia, the United Kingdom, the United States, New Zealand, and Canada have previously linked the Sandworm actor to the Russian GRU’s Main Centre for Special Technologies GTsST.	オーストラリア、英国、米国、ニュージーランド、カナダの組織は、SandwormとロシアGRUの主要特殊技術センターGTsSTを関連付けたことがある。
This report has been published as part of a coordinated effort to raise awareness of this capability being used by the cyber-actor, Sandworm. The malware analysis report has been jointed issued by New Zealand’s National Cyber Security Centre (NCSC), the US National Security Agency(external link) (NSA), the US Cybersecurity and Infrastructure Security Agency(external link) (CISA), the US Federal Bureau of Investigation(external link) (FBI), theCanadian Centre for Cyber Security(external link) - part of the Communications Security Establishment (CSE) and the Australian Signals Directorate(external link) (ASD).	本レポートは、サイバー行為者「サンドワーム」によって使用されているこの能力に対する認識を高めるための協調的努力の一環として発表された。このマルウェア分析レポートは、ニュージーランド国家サイバーセキュリティセンター（NCSC）、米国国家安全保障局（外部リンク）（NSA）、米国サイバーセキュリティ・インフラセキュリティ庁（外部リンク）（CISA）、米国連邦捜査局（外部リンク）（FBI）、コミュニケーション・セキュリティ・エスタブリッシュメント（CSE）の一部であるカナダ・サイバーセキュリティセンター（外部リンク）、オーストラリア信号総局（外部リンク）（ASD）が共同で発表したものである。
While the NCSC is not aware of New Zealand organisations currently being impacted by the Infamous Chisel malware, we are conscious that malicious cyber activity in New Zealand reflects international trends, and alongside international tensions resulting from Russia’s invasion of Ukraine, there is increased potential for cyber-attacks.	NCSCは、ニュージーランドの組織が現在Infamous Chiselマルウェアの影響を受けていることは認識していないが、ニュージーランドにおける悪質なサイバー活動は国際的な傾向を反映しており、ロシアのウクライナ侵攻による国際的な緊張とともに、サイバー攻撃の可能性が高まっていることを認識している。
We are making this advisory publically available to help inform organisations’ cyber defence efforts.	この勧告は、組織のサイバー防衛努力の参考となるよう、一般に公開するものである。
We encourage organisations’ information security leaders, technical specialists, security researchers, and those in academia to review this advisory, consider the tactics, techniques and procedures (TTPs) described in it, and to make an assessment of how they can be used to support network defence and resilience building.	我々は、組織の情報セキュリティリーダー、技術専門家、セキュリティ研究者、および学術関係者がこの勧告を検討し、この勧告に記載されている戦術、技術、手順（TTPs）を検討し、ネットワーク防御とレジリエンス構築を支援するためにそれらをどのように利用できるかを評価することを推奨する。

 

 

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.08.11 米国 CISA ブログ レジリエンスの力 - ウクライナのパートナーからアメリカが学べること