ਕਟਲਫਿਸ਼ ਮਾਲਵੇਅਰ

ਕਟਲਫਿਸ਼ ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਇੱਕ ਨਵਾਂ ਮਾਲਵੇਅਰ ਛੋਟੇ ਦਫਤਰ ਅਤੇ ਹੋਮ ਆਫਿਸ (SOHO) ਰਾਊਟਰਾਂ 'ਤੇ ਕੇਂਦ੍ਰਤ ਕਰਦਾ ਹੈ, ਜਿਸਦਾ ਉਦੇਸ਼ ਇਨ੍ਹਾਂ ਡਿਵਾਈਸਾਂ ਵਿੱਚੋਂ ਲੰਘਣ ਵਾਲੇ ਸਾਰੇ ਟ੍ਰੈਫਿਕ ਦੀ ਸਮਝਦਾਰੀ ਨਾਲ ਨਿਗਰਾਨੀ ਕਰਨਾ ਅਤੇ HTTP GET ਅਤੇ POST ਬੇਨਤੀਆਂ ਤੋਂ ਪ੍ਰਮਾਣਿਕਤਾ ਡੇਟਾ ਇਕੱਤਰ ਕਰਨਾ ਹੈ।

ਇਹ ਖਾਸ ਮਾਲਵੇਅਰ ਇੱਕ ਮਾਡਿਊਲਰ ਫੈਸ਼ਨ ਵਿੱਚ ਬਣਾਇਆ ਗਿਆ ਹੈ, ਮੁੱਖ ਤੌਰ 'ਤੇ ਲੋਕਲ ਏਰੀਆ ਨੈੱਟਵਰਕ (LAN) 'ਤੇ ਰਾਊਟਰ ਤੋਂ ਲੰਘਣ ਵਾਲੇ ਵੈੱਬ ਬੇਨਤੀਆਂ ਤੋਂ ਪ੍ਰਮਾਣਿਕਤਾ ਜਾਣਕਾਰੀ ਦੀ ਚੋਰੀ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਇਹ ਨਿੱਜੀ IP ਸਪੇਸ ਦੇ ਅੰਦਰ ਕੁਨੈਕਸ਼ਨਾਂ ਲਈ DNS ਅਤੇ HTTP ਹਾਈਜੈਕਿੰਗ ਕਰਨ ਦੀ ਸਮਰੱਥਾ ਰੱਖਦਾ ਹੈ, ਖਾਸ ਤੌਰ 'ਤੇ ਅੰਦਰੂਨੀ ਨੈੱਟਵਰਕ ਸੰਚਾਰਾਂ ਨਾਲ ਸਬੰਧਿਤ।

ਸਰੋਤ ਕੋਡ ਤੋਂ ਅਜਿਹੇ ਸੰਕੇਤ ਹਨ ਜੋ ਪਹਿਲਾਂ ਪਛਾਣੇ ਗਏ ਗਤੀਵਿਧੀ ਕਲੱਸਟਰ ਦੇ ਨਾਲ ਸਮਾਨਤਾਵਾਂ ਦਾ ਸੁਝਾਅ ਦਿੰਦੇ ਹਨ ਜਿਸਨੂੰ HiatusRAT ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਹਾਲਾਂਕਿ ਹੁਣ ਤੱਕ ਸਾਂਝੇ ਪੀੜਤ ਵਿਗਿਆਨ ਦੀ ਕੋਈ ਵੀ ਉਦਾਹਰਣ ਨਹੀਂ ਦੇਖੀ ਗਈ ਹੈ। ਅਜਿਹਾ ਲਗਦਾ ਹੈ ਕਿ ਇਹ ਦੋਵੇਂ ਓਪਰੇਸ਼ਨ ਇੱਕੋ ਸਮੇਂ ਸਰਗਰਮ ਹਨ।

ਕਟਲਫਿਸ਼ ਮਾਲਵੇਅਰ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨ ਵਾਲੀਆਂ ਡਿਵਾਈਸਾਂ ਲਈ ਲਾਗ ਵੈਕਟਰ

ਕਟਲਫਿਸ਼ ਘੱਟੋ-ਘੱਟ 27 ਜੁਲਾਈ, 2023 ਤੋਂ ਸਰਗਰਮ ਹੈ, ਇਸਦੀ ਨਵੀਨਤਮ ਮੁਹਿੰਮ ਅਕਤੂਬਰ 2023 ਤੋਂ ਅਪ੍ਰੈਲ 2024 ਤੱਕ ਫੈਲੀ ਹੋਈ ਹੈ। ਇਸ ਸਮੇਂ ਦੌਰਾਨ, ਇਸ ਨੇ ਮੁੱਖ ਤੌਰ 'ਤੇ ਦੋ ਤੁਰਕੀ ਟੈਲੀਕਾਮ ਪ੍ਰਦਾਤਾਵਾਂ ਨਾਲ ਜੁੜੇ 600 ਵਿਲੱਖਣ IP ਪਤਿਆਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ।

ਸਮਝੌਤਾ ਨੈੱਟਵਰਕਿੰਗ ਉਪਕਰਨਾਂ ਦੀ ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਲਈ ਵਰਤਿਆ ਜਾਣ ਵਾਲਾ ਖਾਸ ਤਰੀਕਾ ਅਸਪਸ਼ਟ ਹੈ। ਹਾਲਾਂਕਿ, ਇੱਕ ਵਾਰ ਪੈਰ ਰੱਖਣ ਤੋਂ ਬਾਅਦ, ਇੱਕ ਬੈਸ਼ ਸਕ੍ਰਿਪਟ ਨੂੰ ਹੋਸਟ ਡੇਟਾ ਇਕੱਠਾ ਕਰਨ ਲਈ ਤੈਨਾਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ/ਆਦਿ, ਸਮੱਗਰੀ, ਚੱਲ ਰਹੀਆਂ ਪ੍ਰਕਿਰਿਆਵਾਂ, ਕਿਰਿਆਸ਼ੀਲ ਕੁਨੈਕਸ਼ਨ ਅਤੇ ਮਾਊਂਟ ਸ਼ਾਮਲ ਹਨ। ਇਹ ਜਾਣਕਾਰੀ ਫਿਰ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਐਕਟਰ ('kkthreas.com/upload') ਦੁਆਰਾ ਨਿਯੰਤਰਿਤ ਇੱਕ ਡੋਮੇਨ ਨੂੰ ਭੇਜੀ ਜਾਂਦੀ ਹੈ। ਇਹ ਬਾਅਦ ਵਿੱਚ ਖਾਸ ਰਾਊਟਰ ਆਰਕੀਟੈਕਚਰ (ਉਦਾਹਰਨ ਲਈ, ਆਰਮ, mips32, ਅਤੇ mips64, i386, i386_i686, i386_x64, ਆਦਿ) ਦੇ ਅਧਾਰ ਤੇ ਇੱਕ ਸਮਰਪਿਤ ਸਰਵਰ ਤੋਂ ਕਟਲਫਿਸ਼ ਪੇਲੋਡ ਨੂੰ ਡਾਊਨਲੋਡ ਅਤੇ ਲਾਗੂ ਕਰਦਾ ਹੈ।

ਕਟਲਫਿਸ਼ ਮਾਲਵੇਅਰ ਮਹੱਤਵਪੂਰਨ ਪੀੜਤਾਂ ਦੇ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕਰ ਸਕਦਾ ਹੈ

ਇਸ ਮਾਲਵੇਅਰ ਦੀ ਇੱਕ ਸਟੈਂਡ-ਆਊਟ ਵਿਸ਼ੇਸ਼ਤਾ ਇਸਦੀ ਪੈਸਿਵ ਸੁੰਘਣ ਦੀ ਸਮਰੱਥਾ ਹੈ ਜੋ ਵਿਸ਼ੇਸ਼ ਤੌਰ 'ਤੇ ਜਨਤਕ ਕਲਾਉਡ ਸੇਵਾਵਾਂ ਜਿਵੇਂ ਕਿ ਅਲੀਕਲਾਉਡ, ਐਮਾਜ਼ਾਨ ਵੈੱਬ ਸਰਵਿਸਿਜ਼ (AWS), ਡਿਜੀਟਲ ਓਸ਼ੀਅਨ, ਕਲਾਉਡਫਲੇਅਰ, ਅਤੇ ਬਿੱਟਬਕੇਟ, ਇੱਕ ਵਿਸਤ੍ਰਿਤ ਬਰਕਲੇ ਪੈਕੇਟ ਫਿਲਟਰ (eBPF) ਦੁਆਰਾ ਪ੍ਰਾਪਤ ਕੀਤੇ ਪ੍ਰਮਾਣੀਕਰਨ ਡੇਟਾ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਲਈ ਤਿਆਰ ਕੀਤੀ ਗਈ ਹੈ। ).

ਮਾਲਵੇਅਰ ਇੱਕ ਨਿਯਮਾਂ ਦੇ ਅਧਾਰ 'ਤੇ ਕੰਮ ਕਰਦਾ ਹੈ ਜੋ ਇਸਨੂੰ ਜਾਂ ਤਾਂ ਇੱਕ ਨਿੱਜੀ IP ਪਤੇ ਲਈ ਬੰਨ੍ਹੇ ਹੋਏ ਟ੍ਰੈਫਿਕ ਨੂੰ ਹਾਈਜੈਕ ਕਰਨ ਜਾਂ ਜਨਤਕ IP ਵੱਲ ਜਾਣ ਵਾਲੇ ਟ੍ਰੈਫਿਕ ਲਈ ਇੱਕ ਸਨਿਫਰ ਫੰਕਸ਼ਨ ਨੂੰ ਸਰਗਰਮ ਕਰਨ ਲਈ ਨਿਰਦੇਸ਼ਿਤ ਕਰਦਾ ਹੈ, ਖਾਸ ਸਥਿਤੀਆਂ ਵਿੱਚ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦੀ ਚੋਰੀ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ। ਹਾਈਜੈਕ ਨਿਯਮਾਂ ਨੂੰ ਇਸ ਉਦੇਸ਼ ਲਈ ਸਥਾਪਿਤ ਕੀਤੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਤੋਂ ਮੁੜ ਪ੍ਰਾਪਤ ਕੀਤਾ ਅਤੇ ਅੱਪਡੇਟ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਇੱਕ ਏਮਬੈਡਡ RSA ਸਰਟੀਫਿਕੇਟ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਇੱਕ ਸੁਰੱਖਿਅਤ ਕਨੈਕਸ਼ਨ ਦੇ ਨਾਲ।

ਇਸ ਤੋਂ ਇਲਾਵਾ, ਮਾਲਵੇਅਰ ਇੱਕ ਪ੍ਰੌਕਸੀ ਜਾਂ VPN ਦੇ ਤੌਰ 'ਤੇ ਕੰਮ ਕਰ ਸਕਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਕੈਪਚਰ ਕੀਤੇ ਡੇਟਾ ਨੂੰ ਸਮਝੌਤਾ ਕੀਤੇ ਰਾਊਟਰ ਰਾਹੀਂ ਪ੍ਰਸਾਰਿਤ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ ਅਤੇ ਨਿਸ਼ਾਨੇ ਵਾਲੇ ਸਰੋਤਾਂ ਤੱਕ ਪਹੁੰਚ ਕਰਨ ਲਈ ਇਕੱਠੇ ਕੀਤੇ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦੀ ਵਰਤੋਂ ਕਰਨ ਵਿੱਚ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਦੀ ਸਹੂਲਤ ਮਿਲਦੀ ਹੈ।

ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਕਟਲਫਿਸ਼ ਨੂੰ ਕਿਨਾਰੇ ਦੇ ਨੈਟਵਰਕਿੰਗ ਉਪਕਰਣਾਂ ਲਈ ਪੈਸਿਵ ਈਵਸਡ੍ਰੌਪਿੰਗ ਮਾਲਵੇਅਰ ਦੇ ਇੱਕ ਉੱਨਤ ਰੂਪ ਵਜੋਂ ਵਰਣਨ ਕੀਤਾ ਹੈ, ਵੱਖ-ਵੱਖ ਸਮਰੱਥਾਵਾਂ ਜਿਵੇਂ ਕਿ ਰੂਟ ਹੇਰਾਫੇਰੀ, ਕੁਨੈਕਸ਼ਨ ਹਾਈਜੈਕਿੰਗ ਅਤੇ ਪੈਸਿਵ ਸੁੰਘਣਾ। ਗਲਤ ਪ੍ਰਮਾਣਿਕਤਾ ਸਮੱਗਰੀ ਦੇ ਨਾਲ, ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਨਾ ਸਿਰਫ ਟੀਚੇ ਨਾਲ ਜੁੜੇ ਕਲਾਉਡ ਸਰੋਤਾਂ ਤੱਕ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਦੇ ਹਨ, ਬਲਕਿ ਉਸ ਕਲਾਉਡ ਈਕੋਸਿਸਟਮ ਦੇ ਅੰਦਰ ਇੱਕ ਪੈਰ ਵੀ ਸਥਾਪਿਤ ਕਰਦੇ ਹਨ।